网络安全公司Compass Security近日发布报告,披露了企业在管理Microsoft Entra ID特权身份时常见的配置缺陷。尽管PIM旨在通过“即时访问”机制限制权限,但许多机构因配置不当,使其沦为一种虚假的安全保障。
Compass Security的安全专家Christian Feuchter在报告中指出,尽管企业拥有Entra ID P2许可,但仍有部分机构完全未使用PIM功能。这导致全局管理员等关键权限被永久分配,一旦攻击者通过网络钓鱼等手段攻破账户,即可立即获得整个租户的最高控制权。
权限保护失效的具体表现
除了完全弃用PIM,许多机构在部署时采取了“选择性保护”策略。报告显示,企业往往仅对全局管理员等少数知名角色实施限制,而忽略了其他同样拥有高权限的账户。这种不完整的保护体系为攻击者留下了可乘之机。
此外,身份验证方式的脆弱性也是一大隐患。许多企业仍仅依赖内置的Azure多重身份验证(MFA)。专家警告,如果攻击者窃取了已通过MFA认证的令牌,他们可能无需二次验证即可激活特权角色。更严重的是,若用户在激活角色后被窃取刷新令牌,攻击者便能通过该令牌获取后续的提权访问权限。
报告还强调了“永久活动分配”带来的风险。当企业允许用户无限期持有高权限时,特权访问的暴露窗口被无限拉长。此外,缺失的激活通知机制也导致安全团队无法及时察觉异常的权限变更行为。
Compass Security建议,企业应确保所有高权限角色均纳入PIM保护范围,并考虑使用身份验证上下文(Authentication Context)等更高级的策略来增强安全性。单纯依赖基础的PIM设置已不足以抵御现代化的身份攻击手段。
