SyncJacking: la vulnerabilità dell’hard matching consente l’acquisizione dell’account Azure AD
-
- Tweet
- Pin It
- Condividi per email
-
Semperis ha scoperto un abuso della sincronizzazione hard matching in Azure AD Connect che può portare all’acquisizione di account Azure AD. Questi risultati si basano sulla ricerca pubblicata in agosto da Semperis, riguardo l’abuso del soft matching (noto anche come SMTP matching).
La vulnerabilità SyncJacking consente a un utente malintenzionato e con determinati privilegi di abusare della sincronizzazione hard matching in Azure AD Connect per assumere completamente il controllo di qualsiasi account Azure AD sincronizzato, compreso l’Active Global Administrator.
I risultati ottenuti sono stati prontamente segnalati al Microsoft Security Response Center (MSRC), che ha aggiornato le linee guida di hardening per fornire misure più specifiche contro l’abuso di hard matching. Sebbene l’MSRC abbia risposto rapidamente e aggiornato le linee guida, ulteriori test dimostrano che l’attacco può avere successo anche dopo la loro implementazione. Semperis consiglia vivamente di adottare ulteriori misure per combattere l’abuso e il potenziale rilevamento dell’account Azure AD.
È importante notare i motivi per cui gli aggressori potrebbero sfruttare questo metodo:
- L’uso dell’hard matching per facilitare l’acquisizione dell’account Azure AD non lascia alcuna traccia nei registri di AD on-prem e solo una traccia minima nei registri di Azure AD.
- L’attacco richiede solo due autorizzazioni sugli account di destinazione per rilevare completamente qualsiasi account sincronizzato con qualsiasi ruolo.
- Un aggressore che possiede autorizzazioni relativamente elevate in AD può rilevare Azure AD prendendo il controllo di qualsiasi account sincronizzato con un incarico Attivo/Idoneo.
Potenziali abusi
Delega dell’utente. Se a un utente o a un gruppo è stato delegato il controllo della gestione degli utenti in una o più unità organizzative (UO) con utenti sincronizzati e non, l’utente o il gruppo in questione ha il pieno controllo su di essi e può dirottarne uno qualsiasi, diventando teoricamente anche un Amministratore globale.
Operatori account. Qualsiasi utente del gruppo Operatori Account può gestire tutti gli account e ha privilegi di creazione. Pertanto, qualsiasi Operatore account può dirottare gli utenti sincronizzati.
Come individuare un abuso di syncjack
È possibile ipotizzare ragionevolmente (anche se non definitivamente) che questo attacco si sia verificato se in Azure AD avvengono due eventi di log uno dopo l’altro: “Change User Password” seguito da “Update User” con un DisplayName modificato e un target che utilizza lo stesso UPN (si vedano sotto Figura 9 e Figura 10).
Figura 9
Figura 10
Semperis Directory Services Protector (DSP) raccoglie le modifiche di Azure AD e i dati di AD on-prem e li utilizza per rilevare i tentativi per sfruttare questa vulnerabilità. Nonostante le tracce minime lasciate dall’attacco, le capacità specifiche di DSP ne consentono il rilevamento.
Linee guida per l’hardening di Syncjack per le organizzazioni
L’MSRC ha aggiornato le sue linee guida per includere la seguente raccomandazione:
- Disabilitare l’hard match takeover, il quale consente ad Azure AD Connect di assumere il controllo di un oggetto gestito nel cloud e di cambiare l’origine dell’autorità per l’oggetto in Active Directory. Se invece la sincronizzazione è abilitata, una volta che l’origine dell’autorità di un oggetto viene rilevata da Azure AD Connect, le modifiche apportate ad Active Directory collegato ad Azure AD sovrascriveranno i dati originali di Azure AD, compreso l’hash della password. Un utente malintenzionato potrebbe utilizzare questa funzionalità per assumere il controllo degli oggetti gestiti nel cloud. Per mitigare questo rischio, disabilitare l’hard match takeover.
I test condotti da Semperis dimostrano che SyncJacking funziona anche dopo aver disabilitato l’hard match takeover. Ad ogni modo, è importante applicare questa linea guida per l’hardening.
- MSRC afferma che è importante abilitare l’MFA (autenticazione multi fattoriale) per tutti gli utenti che hanno accesso privilegiato in Azure AD o in AD. Attualmente, l’unico modo per mitigare questo attacco è applicare l’MFA a tutti gli utenti sincronizzati. Questo non è un sistema infallibile per impedire a un aggressore di accedere al proprio account in caso di abuso di SyncJacking, ma può essere utile. Bisogna assicurarsi di seguire tutte le linee guida di hardening fornite da Microsoft nel link precedente in modo da proteggere molte superfici di attacco nel proprio ambiente di identità ibrido. Per una protezione ancora maggiore, considerare l’implementazione di DSP per l’Identity Threat Detection and Response (ITDR).
Fonte foto Pixabay_Jackson
Contenuti correlati
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezioneMoxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024 nello stand 550 del padiglione 4.1 ispirandosi al tema “Forging Mobility Ahead” (definire lo sviluppo futuro della mobilità). L’azienda presenterà il primo router...
-
Giochi olimpici di Parigi 2024: il fattore sicurezzaDopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora rivolta ai Giochi Olimpici di Parigi di quest’estate, uno dei più grandi palcoscenici del mondo che proprio per questo è...
-
Security Summit sbarca a CagliariL’innovazione digitale è certamente motore di sviluppo per il settore turistico alberghiero, così come può avere enormi potenzialità per le piccole e medie imprese del Made in Italy; imprescindibile è, tuttavia, la consapevolezza dei rischi cyber che...
-
Formazione multi-brand con Sacchi in automazione industrialeSacchi Elettroforniture, azienda di riferimento nella distribuzione di materiale elettrico e rinnovabili del Nord Italia, prosegue nel suo programma di formazione dedicato a tutti i professionisti del settore elettrico, con l’obiettivo di formare i prossimi esperti e...
-
Quali sono i rischi informatici nell’industria manifatturiera?Il rapporto Clusit del primo semestre del 2023 ha evidenziato in Italia un aumento del 40% degli attacchi informatici e preoccupa il fatto che il settore manifatturiero sia quello maggiormente colpito L’industria manifatturiera è uno degli obiettivi...
-
Il 2023 di Pilz: numeri da recordFatturato 2023 da record per Pilz, la cui storia di successo prosegue puntando su prodotti e soluzioni di safety e security per la trasformazione dell’industria L’esercizio 2023 di Gruppo Pilz si è chiuso con un fatturato da...
-
La salvezza che viene dagli standardIl ‘Main Event 2024’ di Consorzio PI Italia ha costituito un momento di confronto su due tematiche molto sentite dall’industria, robotica e cybersecurity, nonché un’occasione per ‘fare il punto’ sulla diffusione ed evoluzione delle tecnologie di comunicazione...
-
Cybersecurity nella PA e nella sanità, l’andamento nei rapporti ClusitGli attacchi condotti dalla criminalità organizzata verso l’Italia sono in aumento più che nel resto del mondo, con una percentuale del 65% tra il 2022 e il 2023 (verso una crescita del 12% a livello globale). A...
-
Aeronautica e Spazio: nei prossimi 3-5 anni attesa un’accelerazione inedita di molte professioniÈ stato presentato nella sede dell’Agenzia Spaziale Italiana il rapporto “Gi Group Star Matrix: Trend Evolutivi e Futuro delle Professioni nei settori Aeronautica e Spazio”. Il convegno, organizzato da ASI e Gi Group Holding, ha visto la...
-
Le ultime innovazioni per il settore oil&gas e la cybersecurity protagoniste a PiacenzaDall’escavatore multifunzionale che si trasforma in posa tubi, al programma di testing automatizzato che scopre le vulnerabilità della propria società, fino al “gruppo di intervento anti-hacker”, che interviene in caso di attacco. Sono alcune delle novità presentate...
Scopri le novità scelte per te
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezione
Moxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024 nello stand 550...
-
Giochi olimpici di Parigi 2024: il fattore sicurezza
Dopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora...
Notizie Tutti ▶
-
La visione artificiale di Tao Automation amplifica il potenziale della roboticaL’automazione oggi è un plus tecnologico che viene apprezzata dalle aziende di ogni genere...
-
Italian Machine Vision Forum 2024, appuntamento con la visione artificialeSi terrà il 17 ottobre presso lo Spazio Fase di Alzano Lombardo (Bergamo) la...
-
Logistica, boom del mercato italiano che nel 2030 varrà 140 miliardi di dollari (+24%): I 7 trend che rivoluzioneranno il settoreIl mercato della logistica italiana può sorridere grazie a una crescita costante che non...
Prodotti Tutti ▶
-
Teledyne Flir migliora le prestazioni della termocamera a infrarossi Boson+ con l’aggiornamento del software integratoTeledyne Flir, parte di Teledyne Technologies Incorporated, ha annunciato oggi il software integrato di...
-
PMI: Wolters Kluwer porta la nuova gestione documentale sul webNon è semplice calcolare il tempo medio che in una PMI si deve dedicare...
-
Partnership fra DM e Softrunners per integrare la gestione PLM in Suite dmpDM Management & Consulting – azienda del Gruppo TXT e-solution – ha stretto una...
