SyncJacking: Hard-Matching-Schwachstelle ermöglicht Azure AD-Kontoübernahme

Semperis, der Pionier auf dem Gebiet der Identitätssicherheit, hat eine Schwachstelle zum Missbrauch der Hard-Matching-Synchronisierung in Azure AD Connect aufgedeckt, die zur Übernahme von Azure AD-Konten führen kann.

Diese Erkenntnisse bauen auf den von Semperis im August veröffentlichten Forschungsergebnissen auf, die den Missbrauch von Soft Matching (auch bekannt als SMTP-Matching) beschrieben.

Diese SyncJacking-Schwachstelle bedeutet, dass ein Angreifer mit bestimmten Rechten die Hard-Matching-Synchronisierung in Azure AD Connect missbrauchen kann, um jedes synchronisierte Azure AD-Konto vollständig zu übernehmen – einschließlich Active Global Administrator.

Diese Erkenntnisse wurden umgehend an das Microsoft Security Response Center (MSRC) gemeldet, das die Hardening Guidelines aktualisierte, um spezifischere Abwehrmaßnahmen gegen den Missbrauch von Hard Matching bereitzustellen. Obwohl das MSRC schnell reagierte und die Härtungsrichtlinien aktualisierte, zeigen weitere Tests, dass der Angriff auch nach der Implementierung dieser Maßnahmen erfolgreich sein kann. Daher empfiehlt Semperis dringend, zusätzliche Schutzmaßnahmen zu ergreifen, um Missbrauch und eine mögliche Übernahme von Azure AD-Konten zu verhindern.

Es ist wichtig zu wissen, warum potenzielle Hacker bzw. Angreifer diese Methode ausnutzen könnten:

• Die Verwendung von Hard Matching zur Erleichterung der Übernahme von Azure AD-Konten hinterlässt keine Spuren in On-Prem-AD-Protokollen und nur minimale Spuren in Azure AD-Protokollen.
• Der Angriff erfordert nur zwei Berechtigungen auf den Zielkonten, um jedes synchronisierte Konto mit jeder Rolle vollständig zu übernehmen.
• Ein Angreifer, der über relativ hohe Berechtigungen in AD verfügt, kann Azure AD übernehmen, indem er ein beliebiges synchronisiertes Konto mit einer Active/Eligible-Zuweisung übernimmt.

Mögliche Missbräuche

User delegation. Wenn einem Benutzer oder einer Gruppe die Kontrolle über die Verwaltung von Benutzern in einer oder mehreren Organisationseinheiten (OEs) mit synchronisierten und unsynchronisierten Benutzern übertragen wurde, hat dieser Benutzer oder diese Gruppe die volle Kontrolle über diese Objekte und kann jedes dieser Objekte übernehmen – theoretisch sogar zum globalen Administrator werden.

Account Operators. Jeder Benutzer in der Gruppe „Account Operators“ kann alle Konten verwalten und hat die Berechtigung, Konten zu erstellen. Daher kann jeder Kontobetreiber alle synchronisierten Benutzer hijacken.

Wie man einen SyncJack-Missbrauch erkennt

Man kann (wenn auch nicht endgültig) davon ausgehen, dass ein solcher Angriff stattgefunden hat, wenn zwei Protokollereignisse nacheinander in Azure AD auftreten: „Change User Password“ gefolgt von „Update User“ mit einem geänderten DisplayName und einem Ziel, das denselben UPN verwendet.

Semperis Directory Services Protector (DSP) sammelt Azure AD-Änderungen und On-Prem AD-Daten und verwendet diese Daten, um Versuche zur Ausnutzung dieser Sicherheitslücke zu erkennen. Trotz der minimalen Spuren, die der Angriff hinterlässt, ermöglichen die spezifischen Funktionen von DSP eine Erkennung.

Neue SyncJack-Sicherheitsrichtlinien für Unternehmen

MSRC hat seine Richtlinien aktualisiert und die folgende Empfehlung für Unternehmen aufgenommen:

Deaktivieren Sie Hard Match Takeover. Hard Match Takeover ermöglicht es Azure AD Connect, die Kontrolle über ein Cloud-verwaltetes Objekt zu übernehmen und die „source of authority“ für das Objekt in Active Directory zu ändern. Sobald diese Quelle eines Objekts von Azure AD Connect übernommen wurde, werden Änderungen am Active Directory-Objekt, das mit dem Azure AD-Objekt verknüpft ist, die ursprünglichen Azure AD-Daten überschreiben – einschließlich des Kennwort-Hashes, wenn die Kennwort-Hash-Synchronisierung aktiviert ist. Ein Angreifer könnte diese Fähigkeit nutzen, um die Kontrolle über Cloud-verwaltete Objekte zu übernehmen. Um dieses Risiko zu minimieren, deaktivieren Sie die Übernahme von Hard Matches.

Die Tests von Semperis zeigen, dass SyncJacking auch nach der Deaktivierung von Hard Match Takeover funktioniert. Unabhängig davon ist es wichtig, diese Abhärtungsrichtlinien anzuwenden.

MSRC weist darauf hin, dass es wichtig ist, MFA für alle Benutzer zu aktivieren, die privilegierten Zugriff in Azure AD oder in AD haben. Derzeit besteht die einzige Möglichkeit, diesen Angriff abzuschwächen, darin, MFA für alle synchronisierten Benutzer zu erzwingen. Dies ist keine todsichere Methode, um einen Angreifer vom Zugriff auf Ihr Konto abzuhalten, wenn SyncJacking missbraucht wird, aber es kann helfen. Achten Sie darauf, alle Härtungsrichtlinien zu befolgen, die von Microsoft unter dem vorherigen Link bereitgestellt werden, um viele Angriffsflächen in Ihrer hybriden Identitätsumgebung zu entschärfen. Für einen noch besseren Schutz sollten Sie die Implementierung von DSP für Identity Threat Detection and Response (ITDR) in Betracht ziehen.