Vulnerabilità Entra ID: patch per escalation privilegi Agent ID

Scopri anche

• Hacker cinese estradato negli USA: il caso Xu Zewei
• PyPI: Pacchetto con 1.1 milioni di download hackerato per distribuire infostealer
• Minacce cyber Iran: gli USA ridimensionano il rischio 'shock and awe'
• Flashback 2023: ChatGPT, il blocco del Garante Privacy e la gestione dei dati
• GlassWorm v2: 73 estensioni VS Code fake scoperte su Open VSX
• ShinyHunters colpisce ADT e Rockstar: analisi della doppia violazione
• Router LLM: vulnerabilità nella supply chain AI, allarme LiteLLM
• Frode IRSF via fake CAPTCHA: analisi della campagna attiva dal 2020
• DeepL Voice-to-Voice: traduzione vocale in tempo reale per le aziende
• AI Act 2026: 100 giorni alle sanzioni, il ritardo italiano
• CISA website offline per fondi: rischio sicurezza nazionale
• Vercel conferma breach: dati in vendita, caos comunicativo
• 360 Digital Security: l'IA scopre quasi 1.000 bug zero-day, sfida Anthropic
• Attacco Itron aprile 2026: analisi cybersecurity e gap nella trasparenza
• Oracle traina il rimbalzo del software: l'infrastruttura AI riaccende i mercati
• Pack2TheRoot: vulnerabilità critica Linux root senza password
• FIRESTARTER: analisi del malware che colpisce i firewall Cisco
• Il mercato degli acceleratori per data center raggiungerà i 274-951 miliardi di dollari entro il 2032-2035
• Verifica biometrica Tinder: impatto privacy e analisi del sistema World
• SaaS, RAG e on-premise: come scegliere l'architettura AI per l'enterprise

Vulnerabilità Entra ID: patch per escalation privilegi Agent ID

La corsa all'integrazione dell'intelligenza artificiale nelle infrastrutture aziendali sta creando nuove superfici d'attacco finora inesplorate. Ma quanto sono sicure le identità non-umane che gestiscono questi agenti AI?

Microsoft ha rilasciato il 9 aprile 2026 una patch per una vulnerabilità nel ruolo Agent ID Administrator di Entra ID, scoperta dai ricercatori di Silverfort e segnalata responsabilmente il 1° marzo 2026. Il difetto permetteva agli utenti in possesso di questo ruolo di assumere la proprietà di service principal arbitrari non correlati agli agenti, aprendo percorsi di privilege escalation potenzialmente critici.

Il meccanismo della vulnerabilità: scope overreach nelle identità AI

Il ruolo Agent ID Administrator è stato progettato da Microsoft per gestire il ciclo di vita delle identità degli agenti AI all'interno degli ambienti cloud aziendali. Tuttavia, una mancanza nell'applicazione dell'ambito (scope enforcement) ha permesso a questo ruolo di estendere i propri permessi ben oltre quanto originariamente previsto.

Il problema risiede nella natura architetturale stessa delle identità degli agenti: queste sono costruite sopra primitive standard di applicazione e service principal già esistenti in Entra ID. Quando i permessi del ruolo sono stati applicati su queste fondamenta condivise senza un isolamento rigoroso, l'accesso si è esteso oltre le intenzioni originali del design.

Noa Ariel, ricercatore sicurezza di Silverfort, ha spiegato che Agent identities are part of the broader shift toward non-human identities, built for the age of AI agents. When role permissions are applied on top of shared foundations without strict scoping, access can extend beyond what was originally intended.

Impatti concreti: dalla gestione agenti al takeover completo

Un utente malintenzionato in possesso del ruolo Agent ID Administrator poteva sfruttare questa lacuna per aggiungere proprie credenziali a un service principal ad alto privilegio e successivamente autenticarsi come quell'applicazione. Si tratta di una dinamica che trasforma un ruolo apparentemente limitato in uno strumento per l'escalation dei privilegi.

La gravità dipende dalla configurazione specifica del tenant. That's full service principal takeover. In tenants where high-privileged service principals exist, it becomes a privilege escalation path. ha evidenziato Ariel nel report diffuso il 27 aprile 2026.

Il principio di minimo privilegio, cardine della sicurezza delle identità, viene violato quando un ruolo progettato per un compito specifico — la gestione degli agenti AI — ottiene implicitamente capacità molto più ampie. Questo fenomeno, definito "scope overreach", rappresenta un rischio sistemico ogni volta che nuove funzionalità vengono innestate su infrastrutture cloud esistenti senza un'adeguata segmentazione logica.

La correzione e il comportamento post-patch

Dopo l'intervento correttivo di Microsoft, qualsiasi tentativo di assegnare la proprietà su service principal non-agent utilizzando il ruolo Agent ID Administrator viene bloccato dal sistema. L'operazione genera un messaggio di errore "Forbidden", impedendo di fatto l'exploit della vulnerabilità.

La patch è stata distribuita il 9 aprile 2026 in tutti gli ambienti cloud Microsoft, circa cinque settimane dopo la divulgazione responsabile effettuata da Silverfort il 1° marzo 2026. Il tempo di risposta di Microsoft rientra negli standard del settore per vulnerabilità di questa natura, sebbene le organizzazioni con configurazioni esposte siano rimaste potenzialmente vulnerabili nel periodo intercorso.

Per le aziende che utilizzano Entra ID con il ruolo Agent ID Administrator attivo, è consigliabile verificare i log di audit per identificare eventuali assegnazioni di proprietà anomale su service principal nel periodo precedente la patch. Monitorare gli eventi di richiesta ticket TGS (Event ID 4769) per numerosi oggetti utente con SPN in un lasso di tempo contenuto può costituire un segnale di attività sospetta, come evidenziato dalle best practice di sicurezza Active Directory.

Il contesto delle identità non-umane nell'era dell'AI

La vulnerabilità scoperta da Silverfort evidenzia una tendenza più ampia nel panorama della cybersecurity: la crescente importanza delle identità non-umane (NHI — Non-Human Identities). Gli agenti AI, i service principal e le identità delle applicazioni rappresentano una superficie d'attacco in rapida espansione, spesso trascurata rispetto alle tradizionali identità umane.

Active Directory, ancora utilizzato nel 2019 dal 95% delle aziende Fortune 500 secondo i dati di settore, rimane un pilastro delle infrastrutture aziendali. Sfruttando i punti deboli delle configurazioni di questi servizi di gestione delle identità, gli attaccanti possono identificare percorsi di attacco e ottenere credenziali con privilegi elevati.

Il caso del ruolo Agent ID Administrator dimostra come l'integrazione frettolosa di nuove funzionalità AI possa esporre le organizzazioni a rischi imprevisti quando le nuove identità non sono adeguatamente isolate dalle infrastrutture cloud esistenti. La mancanza di strumenti automatici in grado di rilevare falsi negativi nelle valutazioni di vulnerabilità aggravia il problema, poiché le complessità dei sistemi moderni rendono difficile identificare percorsi di escalation non evidenti.

Considerazioni operative per le organizzazioni

Per mitigare rischi simili in futuro, è essenziale che i team IT siano consapevoli delle vulnerabilità esistenti e sappiano come gestirle. Questo approccio non mira tanto all'eliminazione di tutte le vulnerabilità — obiettivo spesso irraggiungibile — quanto al monitoraggio delle aree più a rischio per prevenirne lo sfruttamento da parte degli attaccanti.

La segmentazione dei ruoli e l'applicazione rigorosa dello scope rappresentano contromisure necessarie ogni volta che vengono introdotte nuove categorie di identità. Nel caso specifico di Entra ID, le organizzazioni dovrebbero verificare che i ruoli personalizzati e quelli predefiniti non abbiano permessi sovrapposti che possano generare escalation non autorizzate.

Implementare strumenti di monitoraggio e rilevamento per identificare tentativi di attacchi di replay o autenticazioni anomale può fornire un livello aggiuntivo di protezione. L'analisi dei modelli di traffico e dei tentativi di autenticazione ripetitivi consente di attivare avvisi o contromisure appropriate prima che un attacco possa compiersi.

Domande frequenti

Cos'è il ruolo Agent ID Administrator in Entra ID?

È un ruolo progettato da Microsoft per gestire il ciclo di vita delle identità degli agenti AI all'interno degli ambienti cloud aziendali, controllando la creazione, modifica ed eliminazione di queste entità non-umane.

Qual era la vulnerabilità scoperta da Silverfort?

Il ruolo Agent ID Administrator permetteva erroneamente agli utenti di assumere la proprietà di service principal arbitrari non correlati agli agenti, aprendo percorsi di privilege escalation verso identità ad alto privilegio.

Quando è stata rilasciata la patch?

Microsoft ha rilasciato la correzione il 9 aprile 2026 in tutti gli ambienti cloud, circa cinque settimane dopo la divulgazione responsabile del 1° marzo 2026.

Come funziona la correzione?

Dopo la patch, qualsiasi tentativo di assegnare la proprietà su service principal non-agent utilizzando il ruolo Agent ID Administrator viene bloccato con un messaggio di errore "Forbidden".

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Letture correlate

• 360 Digital Security: l'IA scopre quasi 1.000 bug zero-day, sfida Anthropic
• Pack2TheRoot: vulnerabilità critica Linux root senza password
• Anthropic Mythos e il dibattito sulla sicurezza informatica: capacità, rischi e scetticismo

Fonti

• https://www.cybersecurity360.it/nuove-minacce/attacco-ai-domini-active-directory-cose-come-funziona-come-mitigare-il-kerberoasting/
• https://www.ictsecuritymagazine.com/articoli/utenti-malintenzionati-e-vulnerabilita-delle-infrastrutture-active-directory-legacy/
• https://intrusa.io/magazine/sicurezza-active-directory/
• https://www.cybersecurity360.it/nuove-minacce/sicurezza-software-e-vulnerabilita-informatiche-che-ce-da-sapere/
• https://www.onoratoinformatica.it/vulnerabilita-informatiche/vulnerabilita-di-identification-and-authentication-failures-che-cose/