Les chercheurs de BeyondTrust découvrent une faille dans les environnements Microsoft Entra
Des chercheurs de BeyondTrust ont découvert que des invités Entra dotés de rôles de facturation peuvent créer des abonnements et en devenir propriétaires sans autorisation.
Atlanta, 2 juin 2025 - Les chercheurs de BeyondTrust ont découvert que les utilisateurs invités d'Entra disposant des rôles de facturation appropriés peuvent créer des abonnements et devenir propriétaires, sans autorisation explicite.
Simon Maxwell-Stewart, Senior Security Researcher de BeyondTrust explique ci-dessous comment des attaquants pourraient exploiter ce comportement inhérent pour pivoter, persister et potentiellement élever leurs privilèges dans les environnements Microsoft Entra.
La faille d'accès à Entra, cachée à la vue de tous
Inviter des utilisateurs externes est une pratique courante et utile pour collaborer avec des partenaires externes. Ces comptes invités bénéficient généralement de privilèges limités afin de réduire les risques en cas de compromission, mais ils échappent au contrôle de l’organisation. Ce comportement peut surprendre les administrateurs Azure, car les modèles de menaces et les bonnes pratiques habituels ne prennent pas en compte la création d'un abonnement par un invité sans privilèges au sein du Tenant de l’organisation.
Les rôles de facturation EA/MCA sont attribués au niveau du compte de facturation, qui existe indépendamment de l'annuaire Entra. Comme les rôles de facturation permettent la création d'abonnements, ils permettent également à l'utilisateur de créer et de transférer des abonnements vers un locataire dont il est simplement un invité. Cela devient particulièrement problématique lorsque les deux locataires ne sont pas contrôlés par la même organisation, ce qui est le cas d'utilisation le plus courant pour les comptes invités B2B.
Les chercheurs de BeyondTrust ont également validé que l'attribution du propriétaire sur un abonnement permet à un invité de transférer ces abonnements vers le Tenant dans lequel il est invité, tout en conservant la propriété de l'abonnement.
« Pour résumer, si vous invitez un compte invité externe dans le Tenant Entra de votre organisation et que ce compte possède un rôle de facturation EA ou MCA ou un abonnement pour son Tenant d'origine, il peut transférer ses abonnements vers votre Tenant, tout en en conservant la propriété. Ceci est valable pour les utilisateurs invités externes qui existent dans des locataires Azure à paiement à l'utilisation, qu'un attaquant pourrait créer en quelques minutes seulement » explique Simon Maxwell-Stewart.
La réponse de Microsoft
Alerté par BeyondTrust le 31/10/2025, Microsoft confirme qu'il s'agit du comportement attendu et explique qu'il s'agit d'une fonctionnalité demandée pour permettre aux comptes invités de créer des abonnements dans d'autres Tenants Entra, que tout fonctionne comme prévu. Microsoft a alors orienté BeyondTrust vers des politiques empêchant les transferts d'abonnements et a fourni une documentation sur le fonctionnement de ces contrôles. Microsoft souligne que les invités sont facturés pour toutes les ressources qu'ils créent, ce qui ne permet pas de délestage des coûts. Il précise également que les abonnements agissent comme une limite de sécurité ; leur impact sur le reste du tenant devrait donc, en théorie, être limité.
Les risques liés à la création d'abonnements contrôlés par les invités : ce qu'un invité malveillant peut faire avec un nouvel abonnement
La fonctionnalité créée par Microsoft ici est logique : certaines organisations ont de nombreux locataires, et il existe des cas d'utilisation où les utilisateurs avec un répertoire personnel doivent créer des abonnements dans d'autres, ils sont simplement invités. Le problème réside dans le comportement par défaut : si cette fonctionnalité était optionnelle (ce qui signifie que les invités étaient empêchés de créer des abonnements par défaut), le risque serait considérablement réduit, et cela ne poserait pas de problème de sécurité.
Un invité apparemment peu privilégié peut créer un abonnement, devenir propriétaire et utiliser cette position pour compromettre un Tenant. Grâce à cet accès, l'attaquant peut effectuer des actions qui seraient normalement bloquées par son rôle limité, notamment :
Liste des administrateurs du groupe de gestion racine
Affaiblissement de la politique Azure par défaut liée à l'abonnement
Création d'une identité gérée par l'utilisateur dans le répertoire Entra ID pour établir une persistance furtive
Enregistrement des appareils Microsoft Entra-joints qui pourraient élever leurs privilèges via des groupes d'appareils dynamiques
Ces actions ne correspondent pas à ce que la plupart des administrateurs Azure attendent d’un utilisateur invité, ce qui rend ce chemin vers les privilèges à la fois méconnu et dangereusement accessible.
Cette découverte invite à une réévaluation plus large de la façon dont les organisations modélisent les menaces associées aux comptes invités Entra ID. « Nous soupçonnons que de nombreuses organisations utilisant les fonctionnalités B2B Guest d'Entra ID ignorent les voies d'accès à des privilèges que cette fonctionnalité permet par inadvertance » confie Simon Maxwell-Stewart.
BeyondTrust conseille donc aux entreprises utilisatrices de cette fonctionnalité de réexaminer leurs politiques d'accès invité, leurs outils de visibilité et leurs modèles de gouvernance des abonnements, avant que de potentiels invités insatisfaits n'en profitent.
L’éditeur continue d'étudier le véritable rayon d'action des attaques ciblant les appareils, notamment la manière dont ces techniques interagissent avec d'autres services, comme Intune, et si les attaques en plusieurs étapes pourraient renforcer les privilèges des invités. Du point de vue d'un défenseur, il est essentiel de bien comprendre les comportements par défaut et les limites des contrôles disponibles pour se protéger contre ce type d'exploitation.
Pour plus de détails :
Pour comprendre l'impact réel de ce problème, et comprendre comment les attaquants peuvent exploiter l'accès invité pour créer et contrôler des abonnements à travers divers exemples de scénarios, rdv sur ce lien.
About BeyondTrust
BeyondTrust is the global identity security leader protecting Paths to Privilege™. Our identity-centric approach goes beyond securing privileges and access, empowering organizations with the most effective solution to manage the entire identity attack surface and neutralize threats, whether from external attacks or insiders.
BeyondTrust is leading the charge in transforming identity security to prevent breaches and limit the blast radius of attacks, while creating a superior customer experience and operational efficiencies. We are trusted by 20,000 customers, including 75 of the Fortune 100, and our global ecosystem of partners.
Learn more at www.beyondtrust.com.

