Détections

Attribution du rôle « Synchronisation AD » suspecte

HIGH

Langue :

Description

Vous pouvez synchroniser Microsoft Entra ID avec Active Directory en utilisant Microsoft Entra Connect (anciennement Azure AD Connect) ou Microsoft Entra Cloud Sync (anciennement Azure AD Connect Cloud Sync). Microsoft fournit deux rôles intégrés spécialement conçus pour les comptes de service utilisés par ces outils de synchronisation.

Le rôle principal est Comptes de synchronisation d'annuaires (ID : d29b2b05-8046-44ba-8758-1e26182fcf32). Les possibilités d'abus qu'il offre sont détaillées dans un article de blog Tenable Research : Stealthy Persistence with "Directory Synchronization Accounts" Role in Entra ID (Persistence furtive avec le rôle « Comptes de synchronisation d'annuaires » dans Entra ID).
Le rôle « Compte de synchronisation d'annuaires sur site » (ID : a92aed5d-d78a-4d16-b381-09adb37eb3b0), plus récent, a été identifié par Tenable pour la première fois en juillet 2024. Il présente une description similaires à celle du rôle « Comptes de synchronisation d'annuaires », et des autorisations identiques. Cependant, Tenable Research a découvert que ce rôle n'est pas utilisé par Microsoft Entra Connect ni Entra Cloud Sync et n'a actuellement aucune utilisation légitime connue, ce qui fait naître des inquiétudes quant à son rôle et à des abus potentiels.

Les attaquants peuvent exploiter ces rôles en les attribuant à des principaux de sécurité dont ils ont le contrôle, tels que des utilisateurs, des principaux de service ou des groupes, par exemple, pour parvenir à une élévation de privilèges ou à une persistance à long terme. Ces rôles sont particulièrement intéressants pour plusieurs raisons :

Ils restent privilégiés. Bien que Microsoft ait supprimé plusieurs autorisations Entra ID sensibles de ces rôles lors d'une mise à jour de durcissement de sécurité en août 2024, Tenable Research a découvert qu'ils conservent toujours des autorisations implicites via une API spécifique. Par conséquent, les rôles continuent de fournir des accès puissants.
Ils opèrent en toute discrétion. Comme les administrateurs attribuent rarement ces rôles manuellement, ils sont masqués dans les portails Azure et Entra. Ils n'apparaissent pas dans la liste des rôles Entra ni dans la section « Rôles attribués » pour un principal donné. Ils sont donc parfaits pour une utilisation discrète.
Un des rôles n'est pas documenté. Microsoft n'a pas documenté le rôle « Compte de synchronisation d'annuaires sur site », ce qui augmente encore le risque d'abus non détectés.

Cet indicateur d'exposition utilise la logique suivante pour détecter les principaux de sécurité suspects assignés à ces rôles :

Pour le rôle « Comptes de synchronisation d'annuaires » : la détection s'appuie sur plusieurs heuristiques pour identifier les personnes assignées au rôle qui ne correspondent pas aux comptes de service typiques utilisés par Microsoft Entra Connect ou Microsoft Entra Cloud Sync.
Pour le rôle « Compte de synchronisation d'annuaires sur site » : toute assignation est signalée comme suspecte, quelles que soient les conditions, car ce rôle n'a pas d'utilisation légitime connue.

Solution

Commencez par évaluer la légitimité du principal de sécurité suspect identifié :

État de synchronisation du tenant : si le tenant Entra n'est pas hybride (c'est-à-dire qu'il n'est pas synchronisé avec Active Directory), aucun de ces rôles ne doit lui être attribué. Dans de tels cas, l'attribution signalée est probablement le signe d'une configuration illégitime ou du reliquat d'un état précédemment hybride.
Type de principal de sécurité : il n'existe aucun scénario légitime dans lequel un principal de service ou un groupe devrait tenir l'un de ces rôles.
Quand ce principal de sécurité a-t-il été créé ? La date correspond-elle réellement au jour de la configuration de la synchronisation des annuaires avec « Microsoft Entra Connect » ou « Microsoft Entra Cloud Sync » ?
Dans les journaux d'audit : ce principal de sécurité effectue-t-il régulièrement des tâches de synchronisation des répertoires telles que la mise à jour, la création et la suppression d'utilisateurs, le changement de mots de passe, etc. ?
Dans les journaux de connexion : ce principal de sécurité s'authentifie-t-il régulièrement à partir d'adresses IP qui appartiennent probablement à votre organisation ?
Si vous utilisez Microsoft Entra Connect, son nom principal d'utilisateur contient-il réellement le nom du serveur Microsoft Entra Connect sur site attendu ? Par exemple, si le serveur s'appelle « AADCONNECT », vous pouvez vous attendre à ce nom principal d'utilisateur : « Sync_AADCONNECT_@... ». Dispose-t-il du nom d'affichage attendu « On-Premises Directory Synchronization Service Account » (Compte de service de synchronisation d'annuaires sur site) ?
Utilisation d'un rôle redondant ou anormal : si le rôle « Compte de synchronisation d'annuaires sur site » est attribué, posez-vous la question suivante : pourquoi ce rôle a-t-il été utilisé à la place (ou en plus) du rôle standard « Comptes de synchronisation d'annuaires » ?

Si vous soupçonnez une violation :

Effectuez une analyse forensique pour confirmer l'attaque présumée, identifiez l'heure et l'auteur de l'attaque, et évaluez l'étendue de l'intrusion potentielle.
Consultez les journaux d'audit pour identifier les actions malveillantes potentielles.

Ni ces rôles ni les personnes qui y sont assignées ne sont visibles dans le portail Azure ou dans le Centre d'administration Entra. Pour identifier les attributions, vous devez utiliser d'autres méthodes telles que les cmdlets Microsoft Graph PowerShell ou interroger directement l'API Microsoft Graph :

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'").Id | Format-List *

Sinon, vous devez utiliser les cmdlets Azure AD PowerShell désormais obsolètes :

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'" | Get-AzureADDirectoryRoleMember

Si le principal de sécurité identifié n'a pas de motif légitime de détenir l'un de ces rôles, et s'il n'est pas utilisé par Microsoft Entra Connect ou Microsoft Entra Cloud Sync, vous devez complètement supprimer cette attribution de rôle. Vous pouvez le faire soit avec la cmdlet PowerShell Remove-AzureADDirectoryRoleMember ou avec la cmdlet Microsoft Graph PowerShell Remove-MgDirectoryRoleMemberByRef. Consultez le script de remédiation fourni.

Détails de l'indicateur

Nom: Attribution du rôle « Synchronisation AD » suspecte

Nom de code: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

Sévérité: High

Type: Microsoft Entra ID Indicator of Exposure

Informations MITRE ATT&CK:

Tactique: TA0003 - Persistence
- Techniques: T1098.003 - Account Manipulation: Additional Cloud Roles
Tactique: TA0004 - Privilege Escalation
- Techniques: T1098.003 - Account Manipulation: Additional Cloud Roles
Tactique: TA0006 - Credential Access
- Techniques: T1556.007 - Modify Authentication Process: Hybrid Identity
Tactique: TA0007 - Discovery
- Techniques: T1069.003 - Permission Groups Discovery: Cloud Groups