Sprache:
Sie können Microsoft Entra ID mit Active Directory synchronisieren, indem Sie entweder Microsoft Entra Connect (früher Azure AD Connect) oder Microsoft Entra-Cloudsynchronisierung (früher Azure AD Connect-Cloudsynchronisierung) verwenden. Microsoft stellt zwei integrierte Rollen bereit, die speziell für die Dienstkonten entwickelt wurden, die von diesen Synchronisierungstools verwendet werden.
d29b2b05-8046-44ba-8758-1e26182fcf32
). Ihr potenzieller Missbrauch wurde in einem Blog-Beitrag von Tenable Research dargelegt: Stealthy Persistence with "Directory Synchronization Accounts" Role in Entra ID.a92aed5d-d78a-4d16-b381-09adb37eb3b0
) ist eine neuere Rolle, die Tenable erstmals im Juli 2024 identifiziert hat. Die Beschreibung ähnelt der Rolle „Verzeichnissynchronisierungskonten“ und die Berechtigungen sind identisch. Tenable Research hat jedoch herausgefunden, dass diese Rolle weder von Microsoft Entra Connect noch von der Entra-Cloudsynchronisierung verwendet wird und dass derzeit keine legitime Verwendung bekannt ist. Dies gibt Anlass zu Bedenken hinsichtlich ihres Zwecks und ihres Missbrauchspotenzials.Angreifer können diese Rollen ausnutzen, indem sie sie Sicherheitsprinzipalen – z. B. Benutzern, Dienstprinzipalen oder Gruppen – zuweisen, die sie kontrollieren. Dadurch wird eine Rechteausweitung oder eine langfristige Persistenz ermöglicht. Diese Rollen sind aus mehreren Gründen besonders attraktiv:
Dieser Indicator of Exposure verwendet die folgende Logik, um verdächtige Sicherheitsprinzipale zu erkennen, die diesen Rollen zugewiesen sind:
Beginnen Sie mit der Evaluierung der Legitimität des identifizierten verdächtigen Sicherheitsprinzipals:
Wenn Sie eine Sicherheitsverletzung vermuten:
Weder diese Rollen noch die Zuweisungen sind im Azure-Portal oder im Entra Admin Center sichtbar. Um Zuweisungen zu identifizieren, müssen Sie alternative Methoden wie die Microsoft Graph-PowerShell-Cmdlets verwenden oder die Microsoft Graph-API direkt abfragen:
Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'").Id | Format-List *
Alternativ können Sie die folgenden jetzt veralteten Azure AD-PowerShell-Cmdlets verwenden:
Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'" | Get-AzureADDirectoryRoleMember
Wenn der identifizierte Sicherheitsprinzipal keinen legitimen Grund für den Besitz einer dieser Rollen hat – und er nicht von Microsoft Entra Connect oder Entra-Cloudsynchronisierung verwendet wird – sollten Sie die Rollenzuweisung entfernen. Hierzu können Sie das PowerShell-Cmdlet Remove-AzureADDirectoryRoleMember
oder das Microsoft Graph-PowerShell-Cmdlet Remove-MgDirectoryRoleMemberByRef
verwenden. Weitere Informationen finden Sie im bereitgestellten Behebungsskript.
Name: Verdächtige Zuweisung der Rolle „AD-Synchronisierung”
Codename: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT
Schweregrad: High
Typ: Microsoft Entra ID Indicator of Exposure