
Semperis, der Pionier auf dem Gebiet der Identitätssicherheit, hat eine Schwachstelle zum Missbrauch der Hard-Matching-Synchronisierung in Azure AD Connect aufgedeckt, die zur Übernahme von Azure AD-Konten führen kann.
Diese Erkenntnisse bauen auf den von Semperis im August veröffentlichten Forschungsergebnissen auf, die den Missbrauch von Soft Matching (auch bekannt als SMTP-Matching) beschrieben.
Diese SyncJacking-Schwachstelle bedeutet, dass ein Angreifer mit bestimmten Rechten die Hard-Matching-Synchronisierung in Azure AD Connect missbrauchen kann, um jedes synchronisierte Azure AD-Konto vollständig zu übernehmen – einschließlich Active Global Administrator.
Diese Erkenntnisse wurden umgehend an das Microsoft Security Response Center (MSRC) gemeldet, das die Hardening Guidelines aktualisierte, um spezifischere Abwehrmaßnahmen gegen den Missbrauch von Hard Matching bereitzustellen. Obwohl das MSRC schnell reagierte und die Härtungsrichtlinien aktualisierte, zeigen weitere Tests, dass der Angriff auch nach der Implementierung dieser Maßnahmen erfolgreich sein kann. Daher empfiehlt Semperis dringend, zusätzliche Schutzmaßnahmen zu ergreifen, um Missbrauch und eine mögliche Übernahme von Azure AD-Konten zu verhindern.
Es ist wichtig zu wissen, warum potenzielle Hacker bzw. Angreifer diese Methode ausnutzen könnten:
- Die Verwendung von Hard Matching zur Erleichterung der Übernahme von Azure AD-Konten hinterlässt keine Spuren in On-Prem-AD-Protokollen und nur minimale Spuren in Azure AD-Protokollen.
- Der Angriff erfordert nur zwei Berechtigungen auf den Zielkonten, um jedes synchronisierte Konto mit jeder Rolle vollständig zu übernehmen.
- Ein Angreifer, der über relativ hohe Berechtigungen in AD verfügt, kann Azure AD übernehmen, indem er ein beliebiges synchronisiertes Konto mit einer Active/Eligible-Zuweisung übernimmt.
Mögliche Missbräuche
User delegation. Wenn einem Benutzer oder einer Gruppe die Kontrolle über die Verwaltung von Benutzern in einer oder mehreren Organisationseinheiten (OEs) mit synchronisierten und unsynchronisierten Benutzern übertragen wurde, hat dieser Benutzer oder diese Gruppe die volle Kontrolle über diese Objekte und kann jedes dieser Objekte übernehmen – theoretisch sogar zum globalen Administrator werden.
Account Operators. Jeder Benutzer in der Gruppe „Account Operators“ kann alle Konten verwalten und hat die Berechtigung, Konten zu erstellen. Daher kann jeder Kontobetreiber alle synchronisierten Benutzer hijacken.
Wie man einen SyncJack-Missbrauch erkennt
Man kann (wenn auch nicht endgültig) davon ausgehen, dass ein solcher Angriff stattgefunden hat, wenn zwei Protokollereignisse nacheinander in Azure AD auftreten: „Change User Password“ gefolgt von „Update User“ mit einem geänderten DisplayName und einem Ziel, das denselben UPN verwendet.
Semperis Directory Services Protector (DSP) sammelt Azure AD-Änderungen und On-Prem AD-Daten und verwendet diese Daten, um Versuche zur Ausnutzung dieser Sicherheitslücke zu erkennen. Trotz der minimalen Spuren, die der Angriff hinterlässt, ermöglichen die spezifischen Funktionen von DSP eine Erkennung.
Neue SyncJack-Sicherheitsrichtlinien für Unternehmen
MSRC hat seine Richtlinien aktualisiert und die folgende Empfehlung für Unternehmen aufgenommen:
Deaktivieren Sie Hard Match Takeover. Hard Match Takeover ermöglicht es Azure AD Connect, die Kontrolle über ein Cloud-verwaltetes Objekt zu übernehmen und die „source of authority“ für das Objekt in Active Directory zu ändern. Sobald diese Quelle eines Objekts von Azure AD Connect übernommen wurde, werden Änderungen am Active Directory-Objekt, das mit dem Azure AD-Objekt verknüpft ist, die ursprünglichen Azure AD-Daten überschreiben – einschließlich des Kennwort-Hashes, wenn die Kennwort-Hash-Synchronisierung aktiviert ist. Ein Angreifer könnte diese Fähigkeit nutzen, um die Kontrolle über Cloud-verwaltete Objekte zu übernehmen. Um dieses Risiko zu minimieren, deaktivieren Sie die Übernahme von Hard Matches.
Die Tests von Semperis zeigen, dass SyncJacking auch nach der Deaktivierung von Hard Match Takeover funktioniert. Unabhängig davon ist es wichtig, diese Abhärtungsrichtlinien anzuwenden.
MSRC weist darauf hin, dass es wichtig ist, MFA für alle Benutzer zu aktivieren, die privilegierten Zugriff in Azure AD oder in AD haben. Derzeit besteht die einzige Möglichkeit, diesen Angriff abzuschwächen, darin, MFA für alle synchronisierten Benutzer zu erzwingen. Dies ist keine todsichere Methode, um einen Angreifer vom Zugriff auf Ihr Konto abzuhalten, wenn SyncJacking missbraucht wird, aber es kann helfen. Achten Sie darauf, alle Härtungsrichtlinien zu befolgen, die von Microsoft unter dem vorherigen Link bereitgestellt werden, um viele Angriffsflächen in Ihrer hybriden Identitätsumgebung zu entschärfen. Für einen noch besseren Schutz sollten Sie die Implementierung von DSP für Identity Threat Detection and Response (ITDR) in Betracht ziehen.
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
