Cet article publié par Semperis décrit un scénario d’attaque surnommé EntraGoat, illustrant comment des attaquants peuvent exploiter des certificats compromis et des permissions d’application excessives pour obtenir des privilèges d’administrateur global dans Microsoft Entra ID.
L’attaque commence par un certificat divulgué associé à un service principal disposant des permissions AppRoleAssignment.ReadWrite.All. Ce certificat est ensuite utilisé pour s’auto-attribuer les permissions RoleManagement.ReadWrite.Directory, permettant ainsi une escalade de privilèges jusqu’aux droits d’administrateur global.
Techniquement, l’attaque s’appuie sur le flux de crédentiels client OAuth 2.0 avec une authentification basée sur des certificats pour contourner les contrôles d’authentification interactive. Les éléments clés incluent les différences de revendication de jetons JWT entre les permissions d’application et les rôles de répertoire, ainsi que la corrélation des empreintes digitales de certificats via KeyCredentials.CustomKeyIdentifier.
Le scénario met en lumière des lacunes critiques dans la gestion des certificats, la gouvernance des permissions d’application, et la distinction entre les flux d’authentification basés sur l’utilisateur et ceux des services principaux. L’article vise à sensibiliser sur ces vulnérabilités et à encourager une meilleure gestion des accès et des permissions dans les environnements cloud.
🔗 Source originale : https://www.semperis.com/blog/exploiting-app-only-graph-permissions-in-entra-id/