訪客用戶訂閱權(quán)限漏洞解析

微軟Entra ID的訂閱管理存在訪問控制缺陷，允許訪客用戶在受邀租戶中創(chuàng)建和轉(zhuǎn)移訂閱，同時(shí)保留對(duì)這些訂閱的完全所有權(quán)。訪客用戶只需具備在源租戶創(chuàng)建訂閱的權(quán)限，以及受邀成為外部租戶訪客的身份即可實(shí)施此操作。這種隱蔽的權(quán)限提升策略使訪客用戶能夠在僅應(yīng)擁有有限訪問權(quán)限的環(huán)境中獲取特權(quán)立足點(diǎn)。

多數(shù)企業(yè)基于臨時(shí)性和有限訪問特性將訪客賬戶視為低風(fēng)險(xiǎn)，但這一設(shè)計(jì)行為卻為攻擊者打開了已知的攻擊路徑和資源租戶內(nèi)的橫向移動(dòng)通道。威脅行為者可能借此在防御方的Entra ID中實(shí)現(xiàn)未授權(quán)偵察和持久化駐留，并在特定場(chǎng)景下推進(jìn)權(quán)限提升。

訪客賬戶如何攻陷Entra ID租戶

訪客創(chuàng)建訂閱的漏洞利用源于微軟計(jì)費(fèi)權(quán)限（企業(yè)協(xié)議或微軟客戶協(xié)議）作用于計(jì)費(fèi)賬戶而非Entra目錄這一特性。安全團(tuán)隊(duì)通常關(guān)注Entra目錄角色（如全局管理員）或Azure RBAC角色（如所有者），卻往往忽視計(jì)費(fèi)角色的存在。

當(dāng)B2B訪客用戶受邀加入資源租戶時(shí)，他們通過源租戶的身份驗(yàn)證進(jìn)行訪問。這種節(jié)省成本的機(jī)制導(dǎo)致目標(biāo)租戶無法強(qiáng)制執(zhí)行多因素認(rèn)證（MFA）等驗(yàn)證控制。若訪客在其源租戶擁有有效計(jì)費(fèi)角色，便可成為Azure內(nèi)部的訂閱所有者。

攻擊者甚至可以利用按需付費(fèi)的Azure租戶（數(shù)分鐘即可創(chuàng)建）中的訪客賬戶實(shí)施攻擊。默認(rèn)情況下，包括訪客在內(nèi)的任何用戶均可邀請(qǐng)外部用戶加入目錄，這意味著攻擊者可利用被入侵賬戶邀請(qǐng)具有計(jì)費(fèi)權(quán)限的用戶進(jìn)入目標(biāo)環(huán)境。

攻擊者利用非特權(quán)訪客賬戶提權(quán)步驟

(1) 攻擊者通過以下方式獲取具有創(chuàng)建訂閱權(quán)限的計(jì)費(fèi)角色用戶控制權(quán)：

• 使用Azure免費(fèi)試用創(chuàng)建自己的Entra租戶（注冊(cè)用戶將成為計(jì)費(fèi)賬戶所有者）
• 入侵已具備計(jì)費(fèi)角色/訂閱所有權(quán)的現(xiàn)有用戶賬戶

(2) 獲取目標(biāo)Entra租戶的訪客用戶邀請(qǐng)（默認(rèn)任何用戶均可發(fā)起邀請(qǐng)）

(3) 登錄Azure門戶并進(jìn)入完全控制的源目錄

(4) 導(dǎo)航至"訂閱>添加"功能

(5) 切換至"高級(jí)"選項(xiàng)卡，將防御方目錄設(shè)為目標(biāo)目錄

(6) 創(chuàng)建訂閱（該訂閱將出現(xiàn)在防御方租戶的根管理組下）

(7) 攻擊者自動(dòng)獲得該訂閱的"所有者"RBAC角色

現(xiàn)實(shí)風(fēng)險(xiǎn)：惡意訪客的訂閱濫用場(chǎng)景

攻擊者獲取其他組織租戶內(nèi)的訂閱所有者權(quán)限后，可實(shí)施以下通常受角色限制的操作：

• 列舉根管理組管理員：通過創(chuàng)建的訂閱查看"訪問控制"角色分配，暴露高價(jià)值特權(quán)賬戶列表
• 削弱關(guān)聯(lián)訂閱的默認(rèn)Azure策略：修改或禁用安全策略，消除違規(guī)警報(bào)
• 創(chuàng)建用戶托管身份：建立獨(dú)立于原訪客賬戶的持久化身份，獲取跨訂閱權(quán)限
• 注冊(cè)Entra加入設(shè)備并濫用條件訪問策略：偽造合規(guī)企業(yè)設(shè)備，獲取受信資產(chǎn)訪問權(quán)

訪客訂閱創(chuàng)建為何成為Entra安全新隱患

BeyondTrust研究人員已觀測(cè)到攻擊者實(shí)際濫用訪客訂閱創(chuàng)建功能的情況。該威脅的特殊性在于：

• 超出多數(shù)Azure管理員對(duì)訪客能力的預(yù)期認(rèn)知
• 未被典型Entra威脅模型涵蓋
• 在B2B場(chǎng)景中尤為普遍（源租戶與資源租戶分屬不同組織）

緩解措施：阻斷訪客訂閱立足點(diǎn)

微軟允許組織通過訂閱策略阻止訪客轉(zhuǎn)移訂閱至其租戶。建議采取以下措施：

• 審計(jì)并清理冗余訪客賬戶
• 強(qiáng)化訪客控制（如禁用訪客間邀請(qǐng)）
• 定期檢測(cè)異常訪客創(chuàng)建的訂閱和資源
• 監(jiān)控Azure門戶所有安全中心警報(bào)
• 審計(jì)設(shè)備訪問（特別是使用動(dòng)態(tài)組規(guī)則的情況）

BeyondTrust身份安全洞察產(chǎn)品可自動(dòng)標(biāo)記訪客創(chuàng)建的訂閱，提供異常行為可視化能力。

深層思考：身份配置錯(cuò)誤成為新型漏洞

訪客訂閱入侵事件揭示了現(xiàn)代企業(yè)環(huán)境中被忽視的身份安全弱點(diǎn)。B2B信任模型、繼承的計(jì)費(fèi)權(quán)限和動(dòng)態(tài)角色意味著每個(gè)賬戶都可能成為權(quán)限提升的跳板。建議企業(yè)重新審視訪客訪問策略、可視化工具和訂閱治理模型。