Los investigadores han identificado una vulnerabilidad crítica en el rol de administrador de Agent ID de Microsoft Entra, que permite a los atacantes abusar de los privilegios para secuestrar entidades de servicio y obtener acceso no autorizado a recursos en la nube de Azure. Este rol, diseñado para gestionar identidades de agentes automatizados, puede ser explotado para modificar configuraciones de seguridad y crear credenciales persistentes que los hackers utilizan para moverse lateralmente dentro de los entornos empresariales.
El ataque se basa en la manipulación de tokens de acceso asociados a los agentes de inteligencia artificial de Azure, donde una falla en la validación permite que un agente comprometido actúe como un espía, interceptando y exfiltrando datos sensibles de las operaciones en la nube. De manera similar, se ha descubierto una falla en el agente de Azure SRE que permite a actores externos escuchar silenciosamente las actividades en la infraestructura cloud, sin dejar rastro en los registros convencionales.
Estas vulnerabilidades comparten un patrón común: el abuso de roles privilegiados diseñados para la automatización, que al ser comprometidos, se convierten en vectores para el acceso persistente, la elevación de privilegios y la exfiltración de datos. Los atacantes pueden encadenar estas fallas para mantener el control a largo plazo sobre las identidades de servicio, incluso después de que se detecte y corrija la brecha inicial.
Los informes de seguridad de CyberSecurityNews, BankInfoSecurity, csoonline.com, gbhackers.com y cyberpress.org coinciden en señalar que la detección temprana requiere monitoreo especializado de los flujos de tokens y cambios inusuales en las asignaciones de roles de administrador, ya que las herramientas tradicionales de seguridad a menudo no alertan sobre estas actividades cuando se ejecutan mediante identidades legítimas pero comprometidas.
