微软Entra身份平台存在高危设计缺陷

微软Entra身份平台近日被曝存在高危设计缺陷，BeyondTrust研究表明：当拥有主租户计费权限（如免费试用账户）的访客进入目标租户时，可绕过常规权限限制直接创建订阅，并通过转移操作成为订阅所有者攻击者获得订阅所有权后，可侦察租户管理员信息、禁用安全监控系统、创建持久化后门，并滥用设备信任机制。核心风险源于计费权限与资源控制权限的分离，导致基于角色的访问控制（RBAC）模型失效。