Verdächtige Zuweisung der Rolle „AD-Synchronisierung”

Sie können Microsoft Entra ID mit Active Directory synchronisieren, indem Sie entweder Microsoft Entra Connect (früher Azure AD Connect) oder Microsoft Entra-Cloudsynchronisierung (früher Azure AD Connect-Cloudsynchronisierung) verwenden. Microsoft stellt zwei integrierte Rollen bereit, die speziell für die Dienstkonten entwickelt wurden, die von diesen Synchronisierungstools verwendet werden.

• Die primäre Rolle ist Verzeichnissynchronisierungskonten (ID: d29b2b05-8046-44ba-8758-1e26182fcf32). Ihr potenzieller Missbrauch wurde in einem Blog-Beitrag von Tenable Research dargelegt: Stealthy Persistence with "Directory Synchronization Accounts" Role in Entra ID.
• Konto für On-Premises-Verzeichnissynchronisierung (ID: a92aed5d-d78a-4d16-b381-09adb37eb3b0) ist eine neuere Rolle, die Tenable erstmals im Juli 2024 identifiziert hat. Die Beschreibung ähnelt der Rolle „Verzeichnissynchronisierungskonten“ und die Berechtigungen sind identisch. Tenable Research hat jedoch herausgefunden, dass diese Rolle weder von Microsoft Entra Connect noch von der Entra-Cloudsynchronisierung verwendet wird und dass derzeit keine legitime Verwendung bekannt ist. Dies gibt Anlass zu Bedenken hinsichtlich ihres Zwecks und ihres Missbrauchspotenzials.

Angreifer können diese Rollen ausnutzen, indem sie sie Sicherheitsprinzipalen – z. B. Benutzern, Dienstprinzipalen oder Gruppen – zuweisen, die sie kontrollieren. Dadurch wird eine Rechteausweitung oder eine langfristige Persistenz ermöglicht. Diese Rollen sind aus mehreren Gründen besonders attraktiv:

• Sie bleiben privilegiert. Obwohl Microsoft im Rahmen eines Updates zur Härtung der Sicherheit im August 2024 mehrere sensible Entra ID-Berechtigungen entfernt hat, hat Tenable Research herausgefunden, dass diese Rollen über eine spezielle API immer noch implizite Berechtigungen besitzen. Infolgedessen bieten die Rollen weiterhin umfassenden Zugriff.
• Sie arbeiten getarnt. Da Administratoren diese Rollen nur selten manuell zuweisen, sind sie sowohl im Azure- als auch im Entra-Portal nicht sichtbar. Sie werden weder in der Liste der Entra-Rollen noch im Abschnitt „Zugewiesene Rollen“ für einen bestimmten Prinzipal angezeigt, was sie ideal für die verdeckte Verwendung macht.
• Eine Rolle ist undokumentiert. Microsoft hat die Rolle „Konto für On-Premises-Verzeichnissynchronisierung“ nicht dokumentiert, was das Risiko eines unentdeckten Missbrauchs weiter erhöht.

Dieser Indicator of Exposure verwendet die folgende Logik, um verdächtige Sicherheitsprinzipale zu erkennen, die diesen Rollen zugewiesen sind:

• Für die Rolle „Verzeichnissynchronisierungskonten“: Die Erkennung stützt sich auf mehrere Heuristiken, um Zuweisungen zu identifizieren, die nicht mit den typischen Dienstkonten übereinstimmen, die von Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung verwendet werden.
• Für die Rolle „Konto für On-Premises-Verzeichnissynchronisierung“: Jede Zuweisung wird unabhängig von den Bedingungen als verdächtig markiert, da für diese Rolle keine legitime Verwendung bekannt ist.

Beginnen Sie mit der Evaluierung der Legitimität des identifizierten verdächtigen Sicherheitsprinzipals:

• Status der Mandantensynchronisierung: Wenn der Entra-Mandant nicht hybrid ist (d. h. nicht mit Active Directory synchronisiert ist), sollten diese Rollen nicht zugewiesen werden. In solchen Fällen weist die gemeldete Zuweisung wahrscheinlich auf eine nicht legitime Konfiguration oder ein Überbleibsel eines zuvor hybriden Status hin.
• Typ des Sicherheitsprinzipals: Es gibt keine legitimen Szenarien, in denen ein Dienstprinzipal oder eine Gruppe eine dieser Rollen innehaben sollte.
• Wann wurde dieser Sicherheitsprinzipal erstellt? Entspricht das Datum tatsächlich dem Tag, an dem die Verzeichnissynchronisierung mit „Microsoft Entra Connect“ oder „Microsoft Entra-Cloudsynchronisierung“ eingerichtet wurde?
• In Audit-Protokollen: Führt dieser Sicherheitsprinzipal regelmäßig Verzeichnissynchronisierungsaufgaben wie Aktualisierung, Erstellung und Löschung von Benutzern, Passwortänderung usw. durch?
• In Anmeldeprotokollen: Authentifiziert sich dieser Sicherheitsprinzipal regelmäßig über IP-Adressen, die wahrscheinlich zu Ihrer Organisation gehören?
• Wenn Sie Microsoft Entra Connect verwenden: Enthält der Benutzerprinzipalname tatsächlich den Namen des erwarteten Microsoft Entra Connect-Servers (On-Premises)? (Beispiel: Wenn der Server den Namen „AADCONNECT“ hat, können Sie diesen UPN erwarten: „Sync_AADCONNECT_@...“). Hat er den erwarteten Anzeigenamen „Konto für On-Premises-Verzeichnissynchronisierungsdienst“?
• Redundante oder anomale Rollenverwendung: Wenn die Rolle „Konto für die On-Premises-Verzeichnissynchronisierung“ zugewiesen ist, sollten Sie Folgendes berücksichtigen: Warum wurde diese Rolle anstelle der standardmäßigen Rolle „Verzeichnissynchronisierungskonten“ oder zusätzlich zu dieser verwendet?

Wenn Sie eine Sicherheitsverletzung vermuten:

• Führen Sie eine forensische Untersuchung durch, um den mutmaßlichen Angriff zu bestätigen, den Zeitpunkt und den Autor des Angriffs zu identifizieren und das Ausmaß des potenziellen Eindringens zu bewerten.
• Überprüfen Sie die Audit-Protokolle, um die potenziellen bösartigen Aktionen zu identifizieren.

Weder diese Rollen noch die Zuweisungen sind im Azure-Portal oder im Entra Admin Center sichtbar. Um Zuweisungen zu identifizieren, müssen Sie alternative Methoden wie die Microsoft Graph-PowerShell-Cmdlets verwenden oder die Microsoft Graph-API direkt abfragen:

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'").Id | Format-List *

Alternativ können Sie die folgenden jetzt veralteten Azure AD-PowerShell-Cmdlets verwenden:

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'" | Get-AzureADDirectoryRoleMember

Wenn der identifizierte Sicherheitsprinzipal keinen legitimen Grund für den Besitz einer dieser Rollen hat – und er nicht von Microsoft Entra Connect oder Entra-Cloudsynchronisierung verwendet wird – sollten Sie die Rollenzuweisung entfernen. Hierzu können Sie das PowerShell-Cmdlet Remove-AzureADDirectoryRoleMember oder das Microsoft Graph-PowerShell-Cmdlet Remove-MgDirectoryRoleMemberByRef verwenden. Weitere Informationen finden Sie im bereitgestellten Behebungsskript.

Name: Verdächtige Zuweisung der Rolle „AD-Synchronisierung”

Codename: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

Schweregrad: High

Typ: Microsoft Entra ID Indicator of Exposure