Detecciones

Asignación sospechosa del rol Cuentas de sincronización de directorios

HIGH

Idioma:

Descripción

Entra ID tiene el rol integrado Cuentas de sincronización de directorios asignado a las cuentas de servicio de Entra que Microsoft Entra Connect (anteriormente Azure AD Connect) o Microsoft Entra Cloud Sync (anteriormente Azure AD Connect Cloud Sync) usan para permitir la sincronización de directorios desde la instancia de Active Directory local hacia Entra ID en la nube.

Los atacantes pueden asignar este rol a una entidad de seguridad (como un usuario, una entidad de servicio o un grupo) que controlan para lograr el escalamiento de privilegios o persistencia. En particular, este rol puede interesar a los atacantes por los siguientes motivos:

Otorga varios permisos confidenciales de Entra ID.
Dado que los administradores de Entra ID normalmente no asignan este rol, permanece oculto dentro de los portales de Azure y Entra y no aparece en la lista de roles de Entra ni en la sección “roles asignados” de una entidad de seguridad. Esta característica sigilosa lo convierte en un método eficaz para llevar a cabo ataques encubiertos.

Este potencial de abuso se describió en esta publicación del blog de Tenable Research: Stealthy Persistence with “Directory Synchronization Accounts” Role in Entra ID (Persistencia sigilosa con el rol Cuentas de sincronización de directorios en Entra ID)

Este indicador de exposición emplea varias heurísticas para detectar entidades de seguridad sospechosas que tienen asignado este rol de riesgo, en especial cuando no se alinean con las cuentas de servicio típicas de Entra para Microsoft Entra Connect o Microsoft Entra Cloud Sync.

Solución

Comience por evaluar la legitimidad de la entidad de seguridad sospechosa detectada:

Si el inquilino de Entra no es híbrido (es decir, no se sincroniza con Active Directory), este rol no debe estar asignado. La entidad de seguridad detectada es un remanente si el inquilino fue híbrido en algún momento o es ilegítima.
¿Es “Usuario” el tipo de esta entidad de seguridad? No existen casos legítimos en los que una entidad de servicio o un grupo tengan asignado este rol.
¿Cuándo se creó esta entidad de seguridad? ¿Corresponde la fecha realmente al día de la configuración de la sincronización de directorios con Microsoft Entra Connect o Microsoft Entra Cloud Sync?
En los registros de auditoría: esta entidad de seguridad, ¿realiza habitualmente tareas de sincronización de directorios, como actualización, creación o eliminación de usuarios; cambio de contraseñas, etc.?
En los registros de inicio de sesión: esta entidad de seguridad, ¿se autentica habitualmente desde direcciones IP que probablemente pertenezcan a su organización?
Si usa Microsoft Entra Connect, su nombre principal de usuario, ¿contiene realmente el nombre del servidor local esperado de Microsoft Entra Connect? (Por ejemplo, si el servidor se llama “AADCONNECT”, puede esperar que el UPN sea: “Sync_AADCONNECT_ @…”). ¿Tiene el nombre para mostrar esperado “Cuenta de servicio de sincronización de directorios local”?

Si sospecha que se trata de una vulneración:

Lleve a cabo una investigación forense para confirmar el supuesto ataque, identificar la hora y el autor del ataque y evaluar el alcance de la posible intrusión.
Revise los registros de auditoría para descubrir las posibles acciones malintencionadas.

Ni el rol Cuentas de sincronización de directorios ni los usuarios asignados correspondientes pueden verse en Azure Portal. Para verlos, tiene que usar otros métodos, como los cmdlets de Microsoft Graph PowerShell o la API directamente:

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *

Como alternativa, puede usar los cmdlets de Azure AD PowerShell ahora obsoletos:

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember

Por último, si la entidad de seguridad detectada no tiene un motivo legítimo para tener asignado este rol y Microsoft Entra Connect o Microsoft Entra Cloud Sync no lo utilizan, debería quitar la asignación de este rol. Puede hacerlo con el cmdlet de Azure AD PowerShell Remove-AzureADDirectoryRoleMember o con el cmdlet de Microsoft Graph PowerShell Remove-MgDirectoryRoleMemberByRef.

Detalles del indicador

Nombre: Asignación sospechosa del rol Cuentas de sincronización de directorios

Nombre en clave: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

Gravedad: High

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK:

Táctica: TA0003 - Persistence (texto en inglés)
- Técnicas: T1098.003 - Account Manipulation: Additional Cloud Roles (texto en inglés)
Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1098.003 - Account Manipulation: Additional Cloud Roles (texto en inglés)
Táctica: TA0006 - Credential Access (texto en inglés)
- Técnicas: T1556.007 - Modify Authentication Process: Hybrid Identity (texto en inglés)
Táctica: TA0007 - Discovery (texto en inglés)
- Técnicas: T1069.003 - Permission Groups Discovery: Cloud Groups (texto en inglés)