Attribution du rôle « Comptes de synchronisation d'annuaires » suspecte

Entra ID dispose du rôle intégré « Comptes de synchronisation d'annuaires » assigné au(x) compte(s) de service Entra que « Microsoft Entra Connect » (anciennement « Azure AD Connect ») ou « Microsoft Entra Cloud Sync » (anciennement « Azure AD Connect Cloud Sync ») utilise pour permettre la synchronisation de répertoires depuis Active Directory sur site vers Entra ID dans le cloud.

Les attaquants peuvent attribuer ce rôle à un principal de sécurité dont ils ont le contrôle, tel qu'un utilisateur, un principal de service ou un groupe, afin d'obtenir une élévation de privilèges ou une persistance. En particulier, ce rôle peut intéresser les attaquants pour les raisons suivantes :

• Il accorde plusieurs autorisations Entra ID sensibles.
• Étant donné que ce rôle n'est généralement pas attribué par les administrateurs Entra ID, il reste masqué dans les portails Azure et Entra, absent de la liste des rôles Entra et de la section « Rôles attribués » d'un principal de sécurité. Ces caractéristiques furtives en font un moyen efficace d'effectuer des attaques secrètes.

Ce potentiel d'abus a été décrit dans cet article de blog Tenable Research : Persistance furtive avec le rôle « Comptes de synchronisation d'annuaires » dans Entra ID

Cet indicateur d'exposition utilise plusieurs heuristiques pour détecter les principaux de sécurité suspects auxquels ce rôle dangereux est assigné, en particulier lorsqu'ils ne correspondent pas aux comptes de service Entra typiques pour Microsoft Entra Connect ou Microsoft Entra Cloud Sync.

Commencez par évaluer la légitimité du principal de sécurité suspect identifié :

• Si le tenant Entra n'est pas hybride (c'est-à-dire qu'il n'est pas synchronisé avec Active Directory), ce rôle ne doit pas lui être attribué. Le principal de sécurité signalé est soit un reste si le tenant a été hybride à un moment donné, soit illégitime.
• S'agit-il d'un principal de sécurité de type utilisateur ? Il n'existe aucun cas légitime dans lequel un principal de service ou un groupe dispose de ce rôle.
• Quand ce principal de sécurité a-t-il été créé ? La date correspond-elle réellement au jour de la configuration de la synchronisation des annuaires avec « Microsoft Entra Connect » ou « Microsoft Entra Cloud Sync » ?
• Dans les journaux d'audit : ce principal de sécurité effectue-t-il régulièrement des tâches de synchronisation des répertoires telles que la mise à jour, la création et la suppression d'utilisateurs, le changement de mots de passe, etc. ?
• Dans les journaux de connexion : ce principal de sécurité s'authentifie-t-il régulièrement à partir d'adresses IP qui appartiennent probablement à votre organisation ?
• Si vous utilisez Microsoft Entra Connect, son nom principal d'utilisateur contient-il réellement le nom du serveur Microsoft Entra Connect sur site attendu ? Par exemple, si le serveur s'appelle « AADCONNECT », vous pouvez vous attendre à ce nom principal d'utilisateur : « Sync_AADCONNECT_@... ». Dispose-t-il du nom d'affichage attendu « Compte de service de synchronisation d'annuaires local » ?

Si vous soupçonnez une violation :

• Effectuez une analyse forensique pour confirmer l'attaque présumée, identifiez l'heure et l'auteur de l'attaque, et évaluez l'étendue de l'intrusion potentielle.
• Consultez les journaux d'audit pour identifier les actions malveillantes potentielles.

Ni le rôle « Comptes de synchronisation d'annuaires » ni les personnes qui y sont assignées ne sont visibles dans le portail Azure. Pour les visualiser, vous devez utiliser d'autres méthodes telles que les cmdlets Microsoft Graph PowerShell ou directement l'API :

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *

Sinon, vous devez utiliser les cmdlets Azure AD PowerShell désormais obsolètes :

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember

Enfin, si le principal de sécurité identifié n'a pas de motif légitime de se voir attribuer ce rôle, et si Microsoft Entra Connect ou Microsoft Entra Cloud Sync ne l'utilise pas, vous devez supprimer cette attribution de rôle. Vous pouvez le faire soit avec la cmdlet Azure AD PowerShell Remove-AzureADDirectoryRoleMember, soit avec la cmdlet Microsoft Graph PowerShell Remove-MgDirectoryRoleMemberByRef.

Nom: Attribution du rôle « Comptes de synchronisation d'annuaires » suspecte

Nom de code: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

Sévérité: High

Type: Microsoft Entra ID Indicator of Exposure