{"id":688,"date":"2026-04-28T08:18:43","date_gmt":"2026-04-28T08:18:43","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/28\/microsoft-corrige-la-falla-en-la-funcion-entra-id-que-permitio-la-adquisicion-del-principal-del-servicio-cyberdefensa-mx\/"},"modified":"2026-04-28T08:18:43","modified_gmt":"2026-04-28T08:18:43","slug":"microsoft-corrige-la-falla-en-la-funcion-entra-id-que-permitio-la-adquisicion-del-principal-del-servicio-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/28\/microsoft-corrige-la-falla-en-la-funcion-entra-id-que-permitio-la-adquisicion-del-principal-del-servicio-cyberdefensa-mx\/","title":{"rendered":"Microsoft corrige la falla en la funci\u00f3n Entra ID que permiti\u00f3 la adquisici\u00f3n del principal del servicio \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Una funci\u00f3n administrativa destinada a agentes de inteligencia artificial (IA) dentro de Microsoft Entra ID podr\u00eda permitir ataques de escalada de privilegios y adquisici\u00f3n de identidad, seg\u00fan nuevos hallazgos de <b>Silverfort<\/b>.<\/p>\n<p><a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/role-based-access-control\/permissions-reference\">Administrador de ID de agente<\/a> es una funci\u00f3n incorporada privilegiada introducida por Microsoft como parte de su <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/agent-id\/what-is-agent-id-platform\">plataforma de identidad del agente<\/a> para manejar todos los aspectos de las operaciones del ciclo de vida de la identidad de un agente de IA en un inquilino. La plataforma permite a los agentes de IA autenticarse de forma segura y acceder a los recursos necesarios, as\u00ed como descubrir otros agentes.<\/p>\n<p>Sin embargo, la deficiencia descubierta por la plataforma de seguridad de identidad signific\u00f3 que los usuarios asignados al rol de administrador de ID de agente pod\u00edan asumir el control arbitrario. <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity-platform\/app-objects-and-service-principals\">directores de servicio<\/a>incluidos aquellos m\u00e1s all\u00e1 de las identidades relacionadas con los agentes, al convertirse en propietario y luego agregar sus propias credenciales para autenticarse como ese principal.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-security-guide-d-1\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjRxP56rpa2W0O_0yc0xgs5l2r4FRV4Wiuq3IqWuFdsd_4g1c3oRVXoHtW9gxo8ObuxmyjqkAf3cD6N1JbVDos7QX99ZHtmeVrg-FUzSnMZLTl1ZFyiSkpqQiw6BcHXz52jr3s42xWEDFOpwWK6HgXOqscGMNkhA5pZK7h6zVV4dpDaLfgy17TidZXVrtUB\/s728-e100\/nudge-d-1.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abEso es una adquisici\u00f3n principal de servicio completo\u00bb, investigadora de seguridad Noa Ariel <a href=\"https:\/\/www.silverfort.com\/blog\/agent-id-administrator-scope-overreach-service-principal-takeover-in-entra-id\/\">dicho<\/a>. \u00abEn los inquilinos donde existen entidades de servicio con altos privilegios, se convierte en una ruta de escalada de privilegios\u00bb.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiWveFhhMQcTBkaG4hCYtXTMOCBC2qi3l0SWAP8WbTO3ocDNHG_9crspjYhrKXTlE00tC1ZBNsrlax1mqwBtg5j3lYS4xD80DX2woqHdsnF0EC56kSF1Tv4rioBESstJ9tXLpd5owzSLQFtVwjyaJGD8PmM_FE6LW4aInJUL5it-jgiYczaqFL0-nmIPWGY\/s1700-e365\/flow.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiWveFhhMQcTBkaG4hCYtXTMOCBC2qi3l0SWAP8WbTO3ocDNHG_9crspjYhrKXTlE00tC1ZBNsrlax1mqwBtg5j3lYS4xD80DX2woqHdsnF0EC56kSF1Tv4rioBESstJ9tXLpd5owzSLQFtVwjyaJGD8PmM_FE6LW4aInJUL5it-jgiYczaqFL0-nmIPWGY\/s1700-e365\/flow.jpg\" alt=\"\" border=\"0\" data-original-height=\"433\" data-original-width=\"1024\"\/><\/a><\/div>\n<p>Esta propiedad de una entidad de servicio abre efectivamente la puerta a un atacante para operar dentro del alcance de sus permisos existentes. Si la entidad de servicio objetivo tiene permisos elevados (particularmente roles de directorio privilegiados y permisos de aplicaciones Graph de alto impacto) puede darle al atacante un control m\u00e1s amplio sobre el inquilino.<\/p>\n<p><iframe loading=\"lazy\" title=\"Agent ID Administrator takes over a privileged non-agent service principal\" width=\"1170\" height=\"658\" src=\"https:\/\/www.youtube.com\/embed\/DK3Ru2OoNEM?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>Tras la divulgaci\u00f3n responsable el 1 de marzo de 2026, Microsoft implement\u00f3 un parche en todos los entornos de nube para remediar la extralimitaci\u00f3n del alcance el 9 de abril. Despu\u00e9s de la soluci\u00f3n, cualquier intento de asignar propiedad sobre entidades principales de servicio que no sean agentes utilizando la funci\u00f3n de administrador de ID de agente ahora est\u00e1 bloqueado y genera un mensaje de error \u00abProhibido\u00bb.<\/p>\n<p>Silverfort se\u00f1al\u00f3 que el problema arquitect\u00f3nico resalta la necesidad de validar c\u00f3mo se asignan los roles y se aplican los permisos, especialmente cuando se trata de componentes de identidad compartidos y se construyen nuevos tipos de identidad sobre las bases de las primitivas existentes.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Para mitigar la amenaza que representa este riesgo, se recomienda a las organizaciones que supervisen el uso de roles confidenciales, en particular aquellos relacionados con la propiedad principal del servicio o los cambios de credenciales, realicen un seguimiento de los cambios en la propiedad principal del servicio, aseguren los principales de servicio privilegiados y auditen la creaci\u00f3n de credenciales en los principales de servicio.<\/p>\n<p>\u00abLas identidades de los agentes son parte de un cambio m\u00e1s amplio hacia identidades no humanas, construidas para la era de los agentes de IA\u00bb, se\u00f1al\u00f3 Ariel. \u00abCuando los permisos de roles se aplican sobre bases compartidas sin un alcance estricto, el acceso puede extenderse m\u00e1s all\u00e1 de lo que se pretend\u00eda originalmente. En este caso, esa brecha condujo a un acceso m\u00e1s amplio, especialmente cuando estaban involucrados principios de servicio privilegiados\u00bb.<\/p>\n<p>\u00abAdem\u00e1s, el riesgo general est\u00e1 influenciado por la postura de los inquilinos, particularmente en torno a los principales de servicios privilegiados, donde el abuso de propiedad sigue siendo una ruta de ataque bien conocida e impactante\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Una funci\u00f3n administrativa destinada a agentes de inteligencia artificial (IA) dentro de Microsoft Entra ID podr\u00eda permitir ataques de escalada de privilegios y adquisici\u00f3n de identidad, seg\u00fan nuevos hallazgos de Silverfort. Administrador de ID de agente es una funci\u00f3n incorporada privilegiada introducida por Microsoft como parte de su plataforma de identidad del agente para manejar [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":585,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1048,744,24,70,192,263,2143,50,1304,1961,464],"class_list":["post-688","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-adquisicion","tag-corrige","tag-cyberdefensa-mx","tag-del","tag-entra","tag-falla","tag-funcion","tag-microsoft","tag-permitio","tag-principal","tag-servicio"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/688","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=688"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/688\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/585"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=688"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=688"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=688"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}