Verdächtige Zuweisung der Rolle „Verzeichnissynchronisierungskonten”

In Entra ID ist die integrierte Rolle „Verzeichnissynchronisierungskonten“ den Entra-Dienstkonten zugewiesen, die „Microsoft Entra Connect“ (früher „Azure AD Connect“) oder „Microsoft Entra-Cloudsynchronisierung“ (früher „Azure AD Connect--Cloudsynchronisierung“) verwenden, um die Verzeichnissynchronisierung aus Active Directory (On-Premises) mit Entra ID (in der Cloud) zu ermöglichen.

Angreifer können diese Rolle einem Sicherheitsprinzipal (z. B. Benutzer, Serviceprinzipal oder Gruppe) zuweisen, den sie kontrollieren, um Rechteausweitung oder Persistenz zu erlangen. Diese Rolle kann insbesondere aus folgenden Gründen für Angreifer interessant sein:

• Sie gewährt mehrere sensible Entra ID-Berechtigungen.
• Da Entra ID-Administratoren diese Rolle in der Regel nicht zuweisen, bleibt sie sowohl im Azure- als auch im Entra-Portal verborgen und fehlt in der Liste der Entra-Rollen und im Abschnitt „Zugewiesene Rollen“ eines Sicherheitsprinzipals. Diese Tarneigenschaft macht sie zu einer effektiven Methode für die Durchführung verdeckter Angriffe.

Dieses Missbrauchspotenzial wurde im folgenden Blogbeitrag von Tenable Research beschrieben: Stealthy Persistence with „Directory Synchronization Accounts“ Role in Entra ID

Dieser Indicator of Exposure setzte mehrere Heuristiken zur Erkennung verdächtiger Sicherheitsprinzipale ein, denen diese riskante Rolle zugewiesen wurde, insbesondere wenn sie nicht mit typischen Entra-Dienstkonten für Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung übereinstimmen.

Beginnen Sie mit der Evaluierung der Legitimität des identifizierten verdächtigen Sicherheitsprinzipals:

• Wenn der Entra-Mandant nicht hybrid ist (d. h. nicht mit Active Directory synchronisiert wird), sollte diese Rolle nicht zugewiesen werden. Der gemeldete Sicherheitsprinzipal ist entweder ein Überbleibsel, wenn der Mandant zu irgendeinem Zeitpunkt hybrid war, oder er ist nicht legitim.
• Ist dies ein Sicherheitsprinzipal vom Typ „Benutzer“? Es gibt keine legitimen Fälle, in denen diese Rolle einem Dienstprinzipal oder einer Gruppe zugewiesen ist.
• Wann wurde dieser Sicherheitsprinzipal erstellt? Entspricht das Datum tatsächlich dem Tag, an dem die Verzeichnissynchronisierung mit „Microsoft Entra Connect“ oder „Microsoft Entra-Cloudsynchronisierung“ eingerichtet wurde?
• In Audit-Protokollen: Führt dieser Sicherheitsprinzipal regelmäßig Verzeichnissynchronisierungsaufgaben wie Aktualisierung, Erstellung und Löschung von Benutzern, Passwortänderung usw. durch?
• In Anmeldeprotokollen: Authentifiziert sich dieser Sicherheitsprinzipal regelmäßig über IP-Adressen, die wahrscheinlich zu Ihrer Organisation gehören?
• Wenn Sie Microsoft Entra Connect verwenden: Enthält der Benutzerprinzipalname tatsächlich den Namen des erwarteten Microsoft Entra Connect-Servers (On-Premises)? (Beispiel: Wenn der Server den Namen „AADCONNECT“ hat, können Sie diesen UPN erwarten: „Sync_AADCONNECT_@...“). Hat er den erwarteten Anzeigenamen „On-Premises Directory Synchronization Service Account“ (Konto für On-Premises-Verzeichnissynchronisierungsdienst)?

Wenn Sie eine Sicherheitsverletzung vermuten:

• Führen Sie eine forensische Untersuchung durch, um den mutmaßlichen Angriff zu bestätigen, den Zeitpunkt und den Autor des Angriffs zu identifizieren und das Ausmaß des potenziellen Eindringens zu bewerten.
• Überprüfen Sie die Audit-Protokolle, um die potenziellen bösartigen Aktionen zu identifizieren.

Weder die Rolle „Verzeichnissynchronisierungskonten“ noch die Personen, denen sie zugewiesen ist, sind im Azure-Portal sichtbar. Um diese Einträge anzuzeigen, müssen Sie andere Methoden wie die Microsoft Graph PowerShell-Cmdlets oder die API direkt verwenden:

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter „RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'“).Id | Format-List *

Alternativ können Sie die folgenden jetzt veralteten Azure AD-PowerShell-Cmdlets verwenden:

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember

Wenn der identifizierte Sicherheitsprinzipal keinen legitimen Grund für die Zuweisung dieser Rolle hat und Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung ihn nicht verwendet, sollten Sie diese Rollenzuweisung entfernen. Hierzu können Sie entweder das Azure AD-PowerShell-Cmdlet Remove-AzureADDirectoryRoleMember oder das Microsoft Graph-PowerShell-Cmdlet Remove-MgDirectoryRoleMemberByRef verwenden.

Name: Verdächtige Zuweisung der Rolle „Verzeichnissynchronisierungskonten”

Codename: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

Schweregrad: High

Typ: Microsoft Entra ID Indicator of Exposure