Share
Beitragsbild zu SyncJacking: Hard-Matching-Schwachstelle ermöglicht Azure AD-Kontoübernahme

SyncJacking: Hard-Matching-Schwachstelle ermöglicht Azure AD-Kontoübernahme

Semperis, der Pionier auf dem Gebiet der Identitätssicherheit, hat eine Schwachstelle zum Missbrauch der Hard-Matching-Synchronisierung in Azure AD Connect aufgedeckt, die zur Übernahme von Azure AD-Konten führen kann.

Diese Erkenntnisse bauen auf den von Semperis im August veröffentlichten Forschungsergebnissen auf, die den Missbrauch von Soft Matching (auch bekannt als SMTP-Matching) beschrieben.

Diese SyncJacking-Schwachstelle bedeutet, dass ein Angreifer mit bestimmten Rechten die Hard-Matching-Synchronisierung in Azure AD Connect missbrauchen kann, um jedes synchronisierte Azure AD-Konto vollständig zu übernehmen – einschließlich Active Global Administrator.

Diese Erkenntnisse wurden umgehend an das Microsoft Security Response Center (MSRC) gemeldet, das die Hardening Guidelines aktualisierte, um spezifischere Abwehrmaßnahmen gegen den Missbrauch von Hard Matching bereitzustellen. Obwohl das MSRC schnell reagierte und die Härtungsrichtlinien aktualisierte, zeigen weitere Tests, dass der Angriff auch nach der Implementierung dieser Maßnahmen erfolgreich sein kann. Daher empfiehlt Semperis dringend, zusätzliche Schutzmaßnahmen zu ergreifen, um Missbrauch und eine mögliche Übernahme von Azure AD-Konten zu verhindern.

Es ist wichtig zu wissen, warum potenzielle Hacker bzw. Angreifer diese Methode ausnutzen könnten:

  • Die Verwendung von Hard Matching zur Erleichterung der Übernahme von Azure AD-Konten hinterlässt keine Spuren in On-Prem-AD-Protokollen und nur minimale Spuren in Azure AD-Protokollen.
  • Der Angriff erfordert nur zwei Berechtigungen auf den Zielkonten, um jedes synchronisierte Konto mit jeder Rolle vollständig zu übernehmen.
  • Ein Angreifer, der über relativ hohe Berechtigungen in AD verfügt, kann Azure AD übernehmen, indem er ein beliebiges synchronisiertes Konto mit einer Active/Eligible-Zuweisung übernimmt.
Mögliche Missbräuche

User delegation. Wenn einem Benutzer oder einer Gruppe die Kontrolle über die Verwaltung von Benutzern in einer oder mehreren Organisationseinheiten (OEs) mit synchronisierten und unsynchronisierten Benutzern übertragen wurde, hat dieser Benutzer oder diese Gruppe die volle Kontrolle über diese Objekte und kann jedes dieser Objekte übernehmen – theoretisch sogar zum globalen Administrator werden.

Account Operators. Jeder Benutzer in der Gruppe „Account Operators“ kann alle Konten verwalten und hat die Berechtigung, Konten zu erstellen. Daher kann jeder Kontobetreiber alle synchronisierten Benutzer hijacken.

Wie man einen SyncJack-Missbrauch erkennt

Man kann (wenn auch nicht endgültig) davon ausgehen, dass ein solcher Angriff stattgefunden hat, wenn zwei Protokollereignisse nacheinander in Azure AD auftreten: „Change User Password“ gefolgt von „Update User“ mit einem geänderten DisplayName und einem Ziel, das denselben UPN verwendet.

Semperis Directory Services Protector (DSP) sammelt Azure AD-Änderungen und On-Prem AD-Daten und verwendet diese Daten, um Versuche zur Ausnutzung dieser Sicherheitslücke zu erkennen. Trotz der minimalen Spuren, die der Angriff hinterlässt, ermöglichen die spezifischen Funktionen von DSP eine Erkennung.

Neue SyncJack-Sicherheitsrichtlinien für Unternehmen

MSRC hat seine Richtlinien aktualisiert und die folgende Empfehlung für Unternehmen aufgenommen:

Deaktivieren Sie Hard Match Takeover. Hard Match Takeover ermöglicht es Azure AD Connect, die Kontrolle über ein Cloud-verwaltetes Objekt zu übernehmen und die „source of authority“ für das Objekt in Active Directory zu ändern. Sobald diese Quelle eines Objekts von Azure AD Connect übernommen wurde, werden Änderungen am Active Directory-Objekt, das mit dem Azure AD-Objekt verknüpft ist, die ursprünglichen Azure AD-Daten überschreiben – einschließlich des Kennwort-Hashes, wenn die Kennwort-Hash-Synchronisierung aktiviert ist. Ein Angreifer könnte diese Fähigkeit nutzen, um die Kontrolle über Cloud-verwaltete Objekte zu übernehmen. Um dieses Risiko zu minimieren, deaktivieren Sie die Übernahme von Hard Matches.

Die Tests von Semperis zeigen, dass SyncJacking auch nach der Deaktivierung von Hard Match Takeover funktioniert. Unabhängig davon ist es wichtig, diese Abhärtungsrichtlinien anzuwenden.

MSRC weist darauf hin, dass es wichtig ist, MFA für alle Benutzer zu aktivieren, die privilegierten Zugriff in Azure AD oder in AD haben. Derzeit besteht die einzige Möglichkeit, diesen Angriff abzuschwächen, darin, MFA für alle synchronisierten Benutzer zu erzwingen. Dies ist keine todsichere Methode, um einen Angreifer vom Zugriff auf Ihr Konto abzuhalten, wenn SyncJacking missbraucht wird, aber es kann helfen. Achten Sie darauf, alle Härtungsrichtlinien zu befolgen, die von Microsoft unter dem vorherigen Link bereitgestellt werden, um viele Angriffsflächen in Ihrer hybriden Identitätsumgebung zu entschärfen. Für einen noch besseren Schutz sollten Sie die Implementierung von DSP für Identity Threat Detection and Response (ITDR) in Betracht ziehen.

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee”

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Featured image for “Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite”

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Featured image for “Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS”

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

Featured image for “CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen”

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Featured image for “Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen”

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen

Studien

Featured image for “Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum”

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

Featured image for “2023 State of the Cloud Report”

2023 State of the Cloud Report

Featured image for “Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen”

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

Featured image for “BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher”

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Featured image for “Wie Cloud-Technologie die Versicherungsbranche revolutioniert”

Wie Cloud-Technologie die Versicherungsbranche revolutioniert

Whitepaper

Featured image for “Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise”

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Featured image for “Aufkommende Trends in der externen Cyberabwehr”

Aufkommende Trends in der externen Cyberabwehr

Featured image for “Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen”

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Featured image for “Aktueller Datenschutzbericht: Risiko XXL am Horizont”

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Featured image for “Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen”

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

Unter4Ohren

Featured image for “Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS”

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

Featured image for “DDoS – der stille Killer”

DDoS – der stille Killer

Featured image for “Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen”

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Featured image for “Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit”

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit

Featured image for “PwC Deutschland – Corporate Security Benchmarking Survey”

PwC Deutschland – Corporate Security Benchmarking Survey