EntraGoat权限升级深度解析:从Graph权限滥用到全局管理员接管的安全风险
2026-04-12 09:44:12作者:韦蓉瑛
风险场景解构
在企业身份管理体系中,Microsoft Entra ID(原Azure AD)的权限配置不当往往成为安全漏洞的温床。EntraGoat场景2通过模拟证书泄露事件,揭示了从普通用户权限到全局管理员权限的完整升级路径。该场景核心围绕"Corporate Finance Analytics"服务主体的证书泄露展开,攻击者利用服务主体配置的过度权限,构建了一条清晰的权限提升链条,最终实现对整个租户的完全控制。
漏洞原理分析
核心权限矩阵关系
| 权限标识 | 权限名称 | 风险等级 | 权限传导路径 |
|---|---|---|---|
9e3f62cf-33a7-4b62-ba47-36384f22c8de |
AppRoleAssignment.ReadWrite.All | ⚠️ 高风险 | 允许管理服务主体的角色分配 |
749f88d5-cbae-40b8-bcfc-e573ddc772fa |
RoleManagement.ReadWrite.Directory | ⚠️ 高风险 | 允许管理目录角色分配 |
62e90394-69f5-4237-9190-012177145e10 |
全局管理员 | ⚠️ 极高风险 | 拥有租户全部管理权限 |
权限传导流程图
上图展示了完整的权限升级流程:攻击者(jennifer.clark)首先通过泄露的证书认证为"Corporate Finance Analytics"服务主体(步骤1),利用AppRoleAssignment.ReadWrite.All权限为自己授予RoleManagement.ReadWrite.Directory权限(步骤2),通过断开重连刷新令牌(步骤3),进而分配全局管理员角色(步骤4),最终实现对管理员账户(EntraGoat-admin-s2)的密码重置(步骤5)。
防御策略体系
预防阶段:权限最小化配置
- 实施权限粒度控制:严格遵循最小权限原则,为服务主体仅分配完成工作所需的最低权限
- 证书生命周期管理:建立证书申领、使用、轮换和撤销的全流程管理机制
- 敏感权限审计:对AppRoleAssignment.ReadWrite.All等高危权限实施特殊审批流程
检测阶段:异常行为监控
- 权限变更告警:配置RoleManagement.ReadWrite.Directory权限分配的实时告警
- 服务主体行为基线:建立正常操作模式基线,识别异常的角色分配行为
- 证书使用审计:记录并分析证书的认证时间、地点和频率等信息
响应阶段:安全事件处置
- 权限快速撤销:建立紧急权限吊销流程,在检测到异常时立即移除可疑权限
- 证书轮换机制:制定证书紧急轮换方案,减少泄露证书的影响范围
- 安全事件复盘:建立事后分析机制,识别权限配置中的薄弱环节
实战演练建议
安全测试方法论
-
权限边界测试:
- 验证服务主体的权限范围是否符合最小权限原则
- 测试跨服务主体的权限传导可能性
- 模拟证书泄露场景下的权限利用路径
-
防御有效性验证:
- 测试权限变更告警的响应速度和准确性
- 验证证书轮换流程的实际效果
- 评估全局管理员账户的保护措施强度
-
演练环境搭建:
git clone https://gitcode.com/GitHub_Trending/en/EntraGoat cd EntraGoat/scenarios .\EntraGoat-Scenario2-Setup.ps1
安全合规声明
本文章所述技术仅用于授权的安全测试和教育目的。未经授权的系统访问和攻击行为均属违法,可能导致严重的法律后果。所有测试必须在拥有明确授权的环境中进行,并严格遵守组织的安全策略和适用法律法规。
延伸学习路径
- Microsoft Entra ID权限最佳实践文档
- Graph API权限参考指南
- 服务主体安全配置基准
社区贡献指引
欢迎通过项目Issue系统提交漏洞复现改进建议,或贡献新的防御策略案例。所有贡献需遵循项目的贡献指南,确保内容的准确性和安全性。建议贡献内容包括:权限配置审计脚本、异常行为检测规则、权限最小化配置模板等实用安全资源。
登录后查看全文
热门项目推荐
相关项目推荐
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get StartedRust0446
源启盛夏_AtomGit暑期开发者成长计划「源启盛夏」暑期校园开发者成长计划旨在激活校园开源力量,通过积分激励、认证扶持、资源倾斜等形式,引导高校组织和开发者完成「入驻 — 建项目 — 做贡献 — 获认证 — 得资源」的完整闭环。无论你是想带领社团入驻平台的组织者,还是希望用代码贡献证明自己的开发者,都能在这里找到属于你的成长路径。Markdown00
jiuwenswarmJiuwenSwarm 是一款基于openJiuwen开发的智能AI Agent,它能够将大语言模型的强大能力,通过你日常使用的各类通讯应用,直接延伸至你的指尖。Python0761
Hy3Hy3 是由腾讯混元团队研发的快慢思考融合的混合专家模型,总参数量 295B,激活参数 21B,MTP 层参数 3.8B。4 月底发布 Hy3 Preview 后,我们在 50 多个业务中获得了广泛的反馈,修复了各种体验问题,进一步提升了后训练的质量和规模。今天,我们发布 Hy3。它展现出显著强于同尺寸并比肩旗舰(参数规模往往是 Hy3 的 2~5 倍)开源模型的智能水平,显著提升了在各类产品和生产力任务中的实用价值。Python00
AscendNPU-IRAscendNPU-IR是基于MLIR(Multi-Level Intermediate Representation)构建的,面向昇腾亲和算子编译时使用的中间表示,提供昇腾完备表达能力,通过编译优化提升昇腾AI处理器计算效率,支持通过生态框架使能昇腾AI处理器与深度调优C++0310
DragonOSDragonOS is an operating system developed from scratch using Rust, with Linux compatibility. It is designed for **Serverless** scenarios. 使用Rust从0自研内核,具有Linux兼容性的操作系统,面向云计算Serverless场景而设计。Rust00
项目优选
收起
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
494
515
deepin linux kernel
C
32
16
Ascend Extension for PyTorch
Python
799
1.13 K
暂无描述
Markdown
825
5.48 K
本项目是CANN提供的神经网络类计算算子库,实现网络在NPU上加速计算。
C++
780
1.57 K
本项目是CANN提供的transformer类大模型算子库,实现网络在NPU上加速计算。
C++
964
2.27 K
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
1.2 K
1.24 K
CANN 学习中心仓,支持在线互动运行、边学边练,提供教程、示例与优化方案,一站式助力昇腾开发者快速上手。
Jupyter Notebook
640
275
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
C
830
6.17 K
昇腾LLM分布式训练框架
Python
194
272
