Microsoft سدات تغرة فـ Entra ID كانت كتعطي صلاحيات خطيرة للـ Admins
Microsoft Patches Entra ID Role Flaw That Enabled Service Principal Takeover
Microsoft سدات تغرة فـ Entra ID كانت كتعطي صلاحيات خطيرة للـ Admins
مع التطور لي كتعرفو Morocco فالعالم ديال Cloud و الـ AI، ولا الضبط ديال الهويات الرقمية (Identity Management) حاجة ضرورية بزاف للديفلوبرز و الـ Sysadmins عندنا. مؤخراً، تكتشفات واحد الثغرة خايبة فـ Microsoft Entra ID (لي كان سميتو Azure AD) بسباب واحد الـ Role جديد تزاد. هاد الثغرة كانت كتسمح لشي حد عندو صلاحيات محدودة باش يطلع الـ Privileges ديالو و يسيطر بشكل كامل على هويات "غير بشرية" (Non-human identities) وسط الـ Tenant.
خلاصة الموضوع (TL;DR)
الباحثين فـ Silverfort لقاو بلي الـ Role لي سميتو "Agent ID Administrator" فـ Microsoft Entra ID كان فيه واحد الخطأ كيعطي الحق لمولاه باش يتحكم فـ أي Service Principal بغا. فاش كيولي مهاجم هو الـ Owner ديال Service Principal عندو صلاحيات عالية، كيقدر يولي هو مدير (Admin) على الـ Cloud كامل. Microsoft خرجات Patch أوتوماتيكي نهار 9 أبريل 2026 باش تحبس هاد السيبة وتخلي هاد الـ Role يدير غير الخدمة لي مديور ليها أصلاً.
شنو هو هاد الـ Agent ID Administrator Role؟
Microsoft يلاه أطلقات Agent Identity Platform، لي مديور خصيصاً باش يسير الـ AI Agents. هاد الـ Agents كيحتاجو هويات رقمية باش يقدروا يدخلو للموارد (Resources) و يتواصلو مع بعضياتهم بأمان.
باش يتسير هادشي، Microsoft دارت Role جديد سميتو Agent ID Administrator. المفروض هاد الـ Role يكون مسؤول غير على الـ Management ديال الهويات ديال الـ AI Agents، و الصلاحيات ديالو تكون محبوسة تما فقط.
كيفاش كانت كتخدم الثغرة؟
الباحثة "نوا أرييل" (Noa Ariel) من Silverfort لقات بلي هاد الـ Role كان فايت القياس (Scope overreach). واخا هو مديور للـ AI Agents، ولكن الحدود ديالو ما كانتش مديورة مزيان.
الواقع هو أن أي واحد عندو هاد الـ Role كان كيقدر:
- يدير راسو هو الـ Owner ديال أي Service Principal فـ الـ Tenant، حتى هادوك لي ما عندهم حتى علاقة بالـ AI. (للتذكير، الـ Service Principal هو هوية كتخدم بها الـ Applications باش تدخل لـ Azure).
- غير كيولي Owner، كيقدر يزيد Credentials ديالو (بحال Secret ولا Certificate) لهاداك الـ Service Principal.
- كيدخل بهاديك الهوية و كيولي عندو كامل الصلاحيات لي عندها.
هادشي سماوه الباحثين "Full service principal takeover". لا قدر المهاجم يسيطر على Service Principal عندو صلاحيات كبيرة فـ Microsoft Graph API، راه كيقدر ببهاد الطريقة يسيطر على الـ Tenant كامل ديال الشركة.
التاريخ و الحل (Remediation)
هاد الثغرة تجمعات بطريقة احترافية:
- 1 مارس 2026: Silverfort بلغات Microsoft بهاد المشكل.
- 9 أبريل 2026: Microsoft بيبليات Patch فالعالم كامل و فكاع الـ Cloud Environments.
دبا، الـ Patch حبس الـ Agent ID Administrator باش ما يبقاش ياخد الـ Ownership ديال Service Principals لي ماشي ديالو. أي محاولة دبا كتعطي Error ديال "Forbidden". وبما أن هادشي فـ الـ Cloud، الشركات فالمغرب ما محتاجين يديرو والو يدويّاً، هادشي تسد راسوا. ولكن هاد المشكل كيبين بلي كاين ريسك فاش كيتزادو أنواع جديدة ديال الهويات فوق السيستيم القديم.
نصائح للـ Admins المغاربة باش يحميو راسهم
واخا هاد الثغرة تسدات، خاص ديما نكونو رادين البال للـ Service Principal Ownership. ها شنو خاص يدار:
- Audit Credential Creation: ديما راقب الـ Logs باش تشوف واش شي حد زاد Credentials جديدة لـ Service Principals، خصوصاً هادوك لي عندهم صلاحيات كبيرة.
- تتبع الـ Ownership: شوف شكون لي محطوط "Owner" ديال الـ Apps و الـ Services المهمة عندك.
- مبدأ أقل صلاحيات (Least Privilege): ما تعطيش للـ Service Principals صلاحيات كاع ما محتاجينها.
- مراقبة الـ Privileged Roles: خدم بـ Entra ID Audit Logs باش تعرف شكون كيخدم بـ Roles الحساسة و شنو كيدير بها.
نقط مبهمة
لحد الساعة، ما كاينش شي خبر واش كاينين شركات تضربو بهاد الثغرة قبل ما يتزاد هاد الـ Patch. و Microsoft ما كشفاتش شحال ديال الشركات كاع كانو مفعلين هاد الـ Role فاش كان المشكل كاين.
خاتمة
مع دخول الـ AI بقوة للشركات هنا فالمغرب، هاد الهويات لي كتحكم فيهم خاصها تكون مراقبة مزيان. الثغرة ديال Agent ID Administrator بينات لينا بلي حتى الـ Roles لي مديورين من طرف Microsoft يقدروا يكون فيهم صلاحيات مخبية خطيرة. الحل هو الـ Auditing المستمر و نردو البال لكل صغيرة و كبيرة فـ الـ Cloud Identity ديالنا.
المصدر: Microsoft Patches Entra ID Role Flaw That Enabled Service Principal Takeover
