Detecciones

Asignación sospechosa del rol Sincronización de AD

HIGH

Idioma:

Descripción

Puede sincronizar Microsoft Entra ID con Active Directory mediante Microsoft Entra Connect (anteriormente Azure AD Connect) o Microsoft Entra Cloud Sync (anteriormente Azure AD Connect Cloud Sync). Microsoft ofrece dos roles integrados diseñados específicamente para las cuentas de servicio que usan estas herramientas de sincronización.

El rol principal es Cuentas de sincronización de directorios (identificador: d29b2b05-8046-44ba-8758-1e26182fcf32). Su potencial de abuso se detalló en una publicación de blog de Tenable Research: Stealthy Persistence with “Directory Synchronization Accounts” Role in Entra ID (texto en inglés).
Cuenta de sincronización de directorios local (identificador: a92aed5d-d78a-4d16-b381-09adb37eb3b0) es un rol más nuevo que Tenable identificó por primera vez en julio de 2024. Tiene una descripción similar y permisos idénticos que el rol “Cuentas de sincronización de directorios”. Sin embargo, Tenable Research descubrió que ni Microsoft Entra Connect ni Entra Cloud Sync usan este rol y, en este momento, no tiene un uso legítimo conocido, lo que genera inquietudes acerca de su propósito y potencial de abuso.

Para explotar estos roles, los atacantes pueden asignarlos a entidades de seguridad (como usuarios, entidades de servicio o grupos) que controlan, lo que permite el escalamiento de privilegios o la persistencia a largo plazo. Estos roles son particularmente atractivos por varios motivos:

Siguen siendo privilegiados. Si bien Microsoft quitó de estos roles varios permisos confidenciales de Entra ID durante una actualización de endurecimiento de la seguridad de agosto de 2024, Tenable Research detectó que aún conservan permisos implícitos a través de una API específica. Como consecuencia, los roles siguen brindando un acceso eficaz.
Operan de manera sigilosa. Dado que los administradores rara vez asignan estos roles manualmente, están ocultos a la vista tanto en Azure Porcal como en el portal de Entra. No aparecen en la lista de roles de Entra ni en la sección “roles asignados” de una entidad principal dada, lo que los hace ideales para un uso encubierto.
Un rol no está documentado. Microsoft no ha documentado el rol “Cuenta de sincronización de directorios local”, lo que aumenta aún más el riesgo de que se produzcan abusos sin detectar.

En este indicador de exposición se usa la siguiente lógica para detectar entidades de seguridad sospechosas asignadas a estos roles:

Para el rol “Cuentas de sincronización de directorios”: la detección se basa en varias heurísticas para detectar los asignados que no se alinean con las cuentas de servicio típicas que se usan en Microsoft Entra Connect o Microsoft Entra Cloud Sync.
Para el rol “Cuenta de sincronización de directorios local”: todas las asignaciones se marcan como sospechosas, independientemente de las condiciones, ya que no se sabe de un uso legítimo para este rol.

Solución

Comience por evaluar la legitimidad de la entidad de seguridad sospechosa detectada:

Estado de sincronización del inquilino: si el inquilino de Entra no es híbrido (es decir, no se sincroniza con Active Directory), no debe asignarse ninguno de estos roles. En tales casos, la asignación informada probablemente indique una configuración ilegítima o un remanente de un estado híbrido anterior.
Tipo de entidad de seguridad: no hay escenarios legítimos en los que una entidad de servicio o un grupo deban ocupar ninguno de estos roles.
¿Cuándo se creó esta entidad de seguridad? ¿Corresponde la fecha realmente al día de la configuración de la sincronización de directorios con Microsoft Entra Connect o Microsoft Entra Cloud Sync?
En los registros de auditoría: esta entidad de seguridad, ¿realiza habitualmente tareas de sincronización de directorios, como actualización, creación o eliminación de usuarios; cambio de contraseñas, etc.?
En los registros de inicio de sesión: esta entidad de seguridad, ¿se autentica habitualmente desde direcciones IP que probablemente pertenezcan a su organización?
Si usa Microsoft Entra Connect, su nombre principal de usuario, ¿contiene realmente el nombre del servidor local esperado de Microsoft Entra Connect? (Por ejemplo, si el servidor se llama “AADCONNECT”, puede esperar que el UPN sea: “Sync_AADCONNECT_ @…”). ¿Tiene el nombre para mostrar esperado “Cuenta de servicio de sincronización de directorios local”?
Uso de roles redundantes o anómalos: si se asignó el rol “Cuenta de sincronización de directorios local”, tenga en cuenta lo siguiente: ¿por qué se usó este rol en lugar del rol estándar “Cuentas de sincronización de directorios” (o además de este)?

Si sospecha que se trata de una vulneración:

Lleve a cabo una investigación forense para confirmar el supuesto ataque, identificar la hora y el autor del ataque y evaluar el alcance de la posible intrusión.
Revise los registros de auditoría para descubrir las posibles acciones malintencionadas.

Ni estos roles ni los usuarios asignados pueden verse en Azure Portal ni en el Centro de administración de Entra. Para detectar asignaciones, tiene que usar métodos alternativos, como los cmdlets de Microsoft Graph PowerShell o una consulta de Microsoft Graph API directamente:

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'").Id | Format-List *

Como alternativa, puede usar los [cmdlets de Azure AD PowerShell] ahora obsoletos(https://learn.microsoft.com/es-es/powershell/module/azuread/get-azureaddirectoryrolemember):

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'" | Get-AzureADDirectoryRoleMember

Si la entidad de seguridad detectada no tiene un motivo legítimo para tener uno de estos roles y ni Microsoft Entra Connect ni Microsoft Entra Cloud Sync lo utilizan, debería quitar la asignación de estos roles. Para ello, puede usar el cmdlet de PowerShell Remove-AzureADDirectoryRoleMember o el cmdlet de Microsoft Graph PowerShell Remove-MgDirectoryRoleMemberByRef. Consulte el script de corrección proporcionado.

Detalles del indicador

Nombre: Asignación sospechosa del rol Sincronización de AD

Nombre en clave: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

Gravedad: High

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK:

Táctica: TA0003 - Persistence (texto en inglés)
- Técnicas: T1098.003 - Account Manipulation: Additional Cloud Roles (texto en inglés)
Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1098.003 - Account Manipulation: Additional Cloud Roles (texto en inglés)
Táctica: TA0006 - Credential Access (texto en inglés)
- Técnicas: T1556.007 - Modify Authentication Process: Hybrid Identity (texto en inglés)
Táctica: TA0007 - Discovery (texto en inglés)
- Técnicas: T1069.003 - Permission Groups Discovery: Cloud Groups (texto en inglés)