Säkerhetsforskare på Silverfort har hittat en allvarlig brist i Microsoft Entra Agent ID, Microsofts ramverk för att ge AI-agenter egna identiteter i Azure. Bristen gjorde det möjligt för en användare med rollen Agent ID Administrator att ta över hela Azure-miljön genom att kapa tjänstekonton med höga behörigheter.

Så fungerade attacken

Microsoft skapade rollen Agent ID Administrator för att hantera AI-agentrelaterade objekt som Blueprints och Agent Identities. Men forskarna Noa Ariel och Yoav S på Silverfort upptäckte att rollen hade ett farligt hål: den kunde i praktiken ändra nästan alla Application Service Principals i en Azure-tenant, inte bara agentrelaterade objekt.

En Service Principal fungerar som ett digitalt ID-kort för programvara. Att ta över ett sådant konto är som identitetsstöld för appar. Angriparen kan skapa en egen hemlig nyckel för att logga in, och eftersom dessa konton ofta har höga behörigheter kan angriparen styra hela systemet utan att synas.

Attackkedjan såg ut så här:

• Angriparen använder Microsoft Graph API eller Azure CLI för att hitta tjänstekonton med höga behörigheter
• Med Agent ID Administrator-rollen lägger angriparen till sig själv som ägare av ett tjänstekonto
• Som ägare skapar angriparen ett nytt lösenord eller certifikat för kontot
• Angriparen loggar in som det kapade tjänstekontot och får full kontroll

Demonstration: Global Administrator kapad

Forskarna spelade in en demo där en Agent ID Administrator lyckades kapa ett Global Administrator-konto. Genom att logga in med de stulna uppgifterna fick de full kontroll över hela nätverket.

"Ägarskap är en övertagandeprimitiv", konstaterade forskarna, vilket innebär att den som blir ägare kan stjäla kontots identitet helt.

Utbrett problem

Omkring 99 procent av företagsnätverk har minst ett privilegierat tjänstekonto. Trots att Agent ID Administrator-rollen är relativt ny använder redan över hälften av de undersökta företagen agentidentiteter. Vissa kör mer än 100 aktiva agenter.

Åtgärdat av Microsoft

Silverfort upptäckte bristen den 24 februari 2026 och rapporterade den till Microsoft Security Response Center (MSRC) den 1 mars. Microsoft bekräftade sårbarheten den 26 mars och rullade ut en fix till alla molnmiljöer den 9 april. Fixen blockerar Agent ID Administrator-rollen från att hantera ägare av vanliga tjänstekonton.

Organisationer rekommenderas att granska sina granskningsloggar efter ändringar i kontoägarskap eller skapande av nya hemligheter på känsliga konton.