Graph API权限滥用与防御：从EntraGoat场景2看身份安全加固

识别过度权限风险

在现代云身份管理中，Microsoft Graph API权限配置不当可能导致严重的安全漏洞。EntraGoat场景2"Graph Me the Crown (and Roles)"展示了一个典型案例：攻击者通过滥用AppRoleAssignment.ReadWrite.All（应用角色分配管理权限）实现从普通用户到全局管理员的权限升级。

风险本质：当服务主体被授予超出其功能需求的Graph API权限时，一旦身份凭证泄露，攻击者可利用权限链实现完整的权限提升。此场景中，"Corporate Finance Analytics"服务主体的证书泄露成为攻击起点。

Graph API权限作用域对比表

权限等级	典型权限	风险级别	适用场景
读取级	User.Read, Group.Read.All	低	报表生成、数据统计
应用管理级	AppRoleAssignment.ReadWrite.All	高	仅限身份治理平台
目录管理级	RoleManagement.ReadWrite.Directory	严重	仅授权给核心身份管理员
全局管理级	Directory.AccessAsUser.All	极高	严格限制使用

构建最小权限策略

安全管理员应从权限设计阶段就实施防御措施，建立基于最小权限原则的权限分配模型。

权限审计与清理步骤

1. 权限清点：使用Microsoft Graph API或Entra管理中心导出所有服务主体的权限配置

2. 风险分级：参照上述权限作用域对比表，标记高风险权限项

3. 权限回收：对非必要的AppRoleAssignment.ReadWrite.All等高危权限执行撤销操作

自动化审计建议：部署定期运行的PowerShell脚本，检测并告警过度权限配置。示例检测逻辑：

# 伪代码示例
$highRiskPermissions = @("AppRoleAssignment.ReadWrite.All", "RoleManagement.ReadWrite.Directory")
Get-MgServicePrincipal | ForEach-Object {
  $permissions = Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $_.Id
  if ($permissions -match $highRiskPermissions) {
    Send-Alert -Message "高风险权限检测: $($_.DisplayName)"
  }
}

证书管理最佳实践

• 实施证书自动轮换机制，将证书有效期控制在90天以内
• 采用硬件安全模块(HSM)存储高权限服务主体的证书
• 建立证书使用审计日志，追踪异常访问模式

场景还原：权限滥用攻击链分析

权限探测阶段

攻击者获取泄露的PFX证书后，首先通过以下步骤探测可用权限：

1. 使用证书认证为"Corporate Finance Analytics"服务主体
2. 调用Graph API查询当前权限集合
3. 发现已被授予AppRoleAssignment.ReadWrite.All权限

漏洞利用阶段

利用应用角色分配管理权限，攻击者执行权限自我提升：

1. 为自身授予RoleManagement.ReadWrite.Directory权限（目录角色管理权限）
2. 断开并重新连接以刷新访问令牌
3. 使用新获得的权限将全局管理员角色分配给自己

关键检测指标：安全监控系统应重点关注以下日志事件：

• 异常的角色分配操作（特别是自分配行为）
• 短时间内的权限升级序列
• 非工作时间的高权限操作

权限巩固阶段

获得全局管理员权限后，攻击者执行：

1. 重置目标管理员账户(EntraGoat-admin-s2)密码
2. 建立持久化访问机制
3. 清除操作痕迹掩盖攻击行为

云环境权限审计工具推荐

为有效防范类似攻击，建议部署以下工具组合：

1. Microsoft Entra ID PIM：实现权限的即时激活与自动过期
2. Microsoft Defender for Cloud Apps：检测异常权限使用模式
3. Graph Explorer：手动验证权限配置安全性
4. Powershell Graph SDK：构建自定义权限审计脚本

通过结合技术防御措施与安全运营流程，组织可以显著降低身份权限滥用风险。EntraGoat场景2提供的不仅是攻击技术演示，更是身份安全加固的实践指南，帮助安全团队建立更健壮的权限管理体系。