Гостевые учётки в Entra могут дать злоумышленникам полный доступ к подпискам

Исследователи выявили опасную уязвимость в Microsoft Entra ID: гостевые пользователи могут создавать и переносить подписки в чужие тенанты, сохраняя при этом полный контроль над ними. Это позволяет злоумышленникам получить привилегированный доступ в инфраструктуру компании, где их изначально приглашали лишь для ограниченного взаимодействия.

Суть проблемы кроется в несовпадении логики управления ролями: права на создание и владение подписками регулируются не через стандартные роли Entra или Azure RBAC, а через отдельные «биллинговые» роли, действующие на уровне платежного аккаунта. Именно это позволяет гостевому пользователю с нужными правами из своей домашней организации беспрепятственно перенести подписку в целевой тенант и остаться её владельцем.

Став владельцем подписки, гость может видеть списки администраторов, изменять политики безопасности, создавать управляемые идентичности и даже обходить политики условного доступа. При этом действия проходят мимо стандартных механизмов мониторинга, так как создаваемая подписка видна лишь в целевом тенанте, а ее появление часто не вызывает тревоги.

Чтобы защититься, Microsoft рекомендует ограничить возможность создания и переноса подписок для гостей с помощью специальной политики. Также важно регулярно проверять все гостевые учетные записи, запрещать перекрёстные приглашения между гостями и следить за подписками, особенно появляющимися без ведома администраторов.