SyncJacking: la vulnerabilità dell’hard matching consente l’acquisizione dell’account Azure AD

Semperis ha scoperto un abuso della sincronizzazione hard matching in Azure AD Connect che può portare all’acquisizione di account Azure AD. Questi risultati si basano sulla ricerca pubblicata in agosto da Semperis, riguardo l’abuso del soft matching (noto anche come SMTP matching).

La vulnerabilità SyncJacking consente a un utente malintenzionato e con determinati privilegi di abusare della sincronizzazione hard matching in Azure AD Connect per assumere completamente il controllo di qualsiasi account Azure AD sincronizzato, compreso l’Active Global Administrator.

I risultati ottenuti sono stati prontamente segnalati al Microsoft Security Response Center (MSRC), che ha aggiornato le linee guida di hardening per fornire misure più specifiche contro l’abuso di hard matching. Sebbene l’MSRC abbia risposto rapidamente e aggiornato le linee guida, ulteriori test dimostrano che l’attacco può avere successo anche dopo la loro implementazione. Semperis consiglia vivamente di adottare ulteriori misure per combattere l’abuso e il potenziale rilevamento dell’account Azure AD.

È importante notare i motivi per cui gli aggressori potrebbero sfruttare questo metodo:

• L’uso dell’hard matching per facilitare l’acquisizione dell’account Azure AD non lascia alcuna traccia nei registri di AD on-prem e solo una traccia minima nei registri di Azure AD.
• L’attacco richiede solo due autorizzazioni sugli account di destinazione per rilevare completamente qualsiasi account sincronizzato con qualsiasi ruolo.
• Un aggressore che possiede autorizzazioni relativamente elevate in AD può rilevare Azure AD prendendo il controllo di qualsiasi account sincronizzato con un incarico Attivo/Idoneo.
  Potenziali abusi

Delega dell’utente. Se a un utente o a un gruppo è stato delegato il controllo della gestione degli utenti in una o più unità organizzative (UO) con utenti sincronizzati e non, l’utente o il gruppo in questione ha il pieno controllo su di essi e può dirottarne uno qualsiasi, diventando teoricamente anche un Amministratore globale.

Operatori account. Qualsiasi utente del gruppo Operatori Account può gestire tutti gli account e ha privilegi di creazione. Pertanto, qualsiasi Operatore account può dirottare gli utenti sincronizzati.

Come individuare un abuso di syncjack

È possibile ipotizzare ragionevolmente (anche se non definitivamente) che questo attacco si sia verificato se in Azure AD avvengono due eventi di log uno dopo l’altro: “Change User Password” seguito da “Update User” con un DisplayName modificato e un target che utilizza lo stesso UPN (si vedano sotto Figura 9 e Figura 10).

Figura 9

Figura 10

Semperis Directory Services Protector (DSP) raccoglie le modifiche di Azure AD e i dati di AD on-prem e li utilizza per rilevare i tentativi per sfruttare questa vulnerabilità. Nonostante le tracce minime lasciate dall’attacco, le capacità specifiche di DSP ne consentono il rilevamento.

Linee guida per l’hardening di Syncjack per le organizzazioni

L’MSRC ha aggiornato le sue linee guida per includere la seguente raccomandazione:

• Disabilitare l’hard match takeover, il quale consente ad Azure AD Connect di assumere il controllo di un oggetto gestito nel cloud e di cambiare l’origine dell’autorità per l’oggetto in Active Directory. Se invece la sincronizzazione è abilitata, una volta che l’origine dell’autorità di un oggetto viene rilevata da Azure AD Connect, le modifiche apportate ad Active Directory collegato ad Azure AD sovrascriveranno i dati originali di Azure AD, compreso l’hash della password. Un utente malintenzionato potrebbe utilizzare questa funzionalità per assumere il controllo degli oggetti gestiti nel cloud. Per mitigare questo rischio, disabilitare l’hard match takeover.

I test condotti da Semperis dimostrano che SyncJacking funziona anche dopo aver disabilitato l’hard match takeover. Ad ogni modo, è importante applicare questa linea guida per l’hardening.

• MSRC afferma che è importante abilitare l’MFA (autenticazione multi fattoriale) per tutti gli utenti che hanno accesso privilegiato in Azure AD o in AD. Attualmente, l’unico modo per mitigare questo attacco è applicare l’MFA a tutti gli utenti sincronizzati. Questo non è un sistema infallibile per impedire a un aggressore di accedere al proprio account in caso di abuso di SyncJacking, ma può essere utile. Bisogna assicurarsi di seguire tutte le linee guida di hardening fornite da Microsoft nel link precedente in modo da proteggere molte superfici di attacco nel proprio ambiente di identità ibrido. Per una protezione ancora maggiore, considerare l’implementazione di DSP per l’Identity Threat Detection and Response (ITDR).

Fonte foto Pixabay_Jackson

Contenuti correlati

• 
  Cybersecurity da 4.0 a 5.0

  La protezione di impianti e macchine nell’industria come nelle utility costituisce un ‘must’ per garantire il successo dei processi di digitalizzazione in ottica 4.0 e, in un futuro ormai prossimo, 5.0 Leggi l’articolo
• 
  Hacking dei server ICS Historian: punto di snodo dalla rete IT ai sistemi OT

  I server historian vengono utilizzati all’interno delle reti aziendali ormai da molto tempo. Questi database critici, infatti, non solo archiviano i dati raccolti dai sistemi di controllo industriale, ma si estendono anche alla rete aziendale condividendo le...
• 
  Cybersecurity e protezione dei dati: due facce della stessa medaglia

  Nella Relazione Annuale presentata a luglio 2022, il Garante per la protezione dei dati personali ha evidenziato che dal 1° gennaio 2021 al successivo 31 dicembre sono state notificate 2.071 violazioni dei dati personali, il 50,5% da...
• 
  2023: il tema cruciale è la cybersicurezza

  La sicurezza dei dati è oramai uno dei pilastri portanti delle aziende. L’escalation delle cyber-minacce continua a crescere con preoccupante costanza anno per anno. Ad esempio, poche settimane fa avevamo analizzato e spiegato l’ultima tipologia di minaccia...
• 
  Il futuro secondo Cisco: i trend tecnologici del 2023

  Il nuovo anno è alle porte, tempo quindi di bilanci e di previsioni per un 2023 che si preannuncia pieno di sfide e di innovazioni tecnologiche. Reti predittive potenziate dall’intelligenza artificiale, multicloud, futuro del lavoro, sostenibilità e...
• 
  Palo Alto Networks protegge i dispositivi connessi per la cura dei pazienti

  Palo Alto Networks ha reso disponibile Medical IoT Security, soluzione che consente alle organizzazioni sanitarie di implementare e gestire le nuove tecnologie connesse in modo rapido e sicuro facendo leva su Zero Trust, un approccio strategico che...
• 
  Le persone sono il principale vettore di attacco per le organizzazioni, non l’ultima linea di difesa

  Nel corso dell’ultimo anno, le organizzazioni di tutto il mondo hanno risentito dell’aumento delle minacce informatiche, con una tendenza che va oltre ogni potenziale segmentazione geografica. Nel 2021, l’’Europa in particolare si è collocata al secondo posto...
• 
  Tecnologie di security: l’Italia è ancora in ritardo su integrazione e automazione

  di Andrea Lambiase, Chief Digital Strategy & Innovation Officer di Axitea I recenti avvenimenti geopolitici hanno provocato sconvolgimenti nei target, nelle modalità e negli obiettivi degli attacchi cyber: secondo l’ultimo report Clusit, nel primo semestre del 2022...
• 
  Cybersicurezza e le novità di CodeMeter al centro di KEYnote 44

  Quando le giornate si accorciano nell’emisfero boreale è tempo di fare un bilancio dei conseguimenti dell’anno che volge al termine. Per gli entusiasti e gli utenti fedeli di CodeMeter, la soluzione di protezione, gestione licenze e cybersicurezza...
• 
  Cybersecurity, 1 organizzazione su 3 ha subito almeno sette violazioni nell’ultimo anno

  Cybersecurity: negli ultimi dodici mesi, il 32% delle organizzazioni di tutto il mondo ha subito la compromissione dei dati molteplici volte. A rivelarlo è l’edizione del primo semestre 2022 del report Cyber Risk Index (CRI), elaborato da...