SyncJacking: la vulnerabilità dell’hard matching consente l’acquisizione dell’account Azure AD

Semperis ha scoperto un abuso della sincronizzazione hard matching in Azure AD Connect che può portare all’acquisizione di account Azure AD. Questi risultati si basano sulla ricerca pubblicata in agosto da Semperis, riguardo l’abuso del soft matching (noto anche come SMTP matching).

La vulnerabilità SyncJacking consente a un utente malintenzionato e con determinati privilegi di abusare della sincronizzazione hard matching in Azure AD Connect per assumere completamente il controllo di qualsiasi account Azure AD sincronizzato, compreso l’Active Global Administrator.

I risultati ottenuti sono stati prontamente segnalati al Microsoft Security Response Center (MSRC), che ha aggiornato le linee guida di hardening per fornire misure più specifiche contro l’abuso di hard matching. Sebbene l’MSRC abbia risposto rapidamente e aggiornato le linee guida, ulteriori test dimostrano che l’attacco può avere successo anche dopo la loro implementazione. Semperis consiglia vivamente di adottare ulteriori misure per combattere l’abuso e il potenziale rilevamento dell’account Azure AD.

È importante notare i motivi per cui gli aggressori potrebbero sfruttare questo metodo:

• L’uso dell’hard matching per facilitare l’acquisizione dell’account Azure AD non lascia alcuna traccia nei registri di AD on-prem e solo una traccia minima nei registri di Azure AD.
• L’attacco richiede solo due autorizzazioni sugli account di destinazione per rilevare completamente qualsiasi account sincronizzato con qualsiasi ruolo.
• Un aggressore che possiede autorizzazioni relativamente elevate in AD può rilevare Azure AD prendendo il controllo di qualsiasi account sincronizzato con un incarico Attivo/Idoneo.
  Potenziali abusi

Delega dell’utente. Se a un utente o a un gruppo è stato delegato il controllo della gestione degli utenti in una o più unità organizzative (UO) con utenti sincronizzati e non, l’utente o il gruppo in questione ha il pieno controllo su di essi e può dirottarne uno qualsiasi, diventando teoricamente anche un Amministratore globale.

Operatori account. Qualsiasi utente del gruppo Operatori Account può gestire tutti gli account e ha privilegi di creazione. Pertanto, qualsiasi Operatore account può dirottare gli utenti sincronizzati.

Come individuare un abuso di syncjack

È possibile ipotizzare ragionevolmente (anche se non definitivamente) che questo attacco si sia verificato se in Azure AD avvengono due eventi di log uno dopo l’altro: “Change User Password” seguito da “Update User” con un DisplayName modificato e un target che utilizza lo stesso UPN (si vedano sotto Figura 9 e Figura 10).

Figura 9

Figura 10

Semperis Directory Services Protector (DSP) raccoglie le modifiche di Azure AD e i dati di AD on-prem e li utilizza per rilevare i tentativi per sfruttare questa vulnerabilità. Nonostante le tracce minime lasciate dall’attacco, le capacità specifiche di DSP ne consentono il rilevamento.

Linee guida per l’hardening di Syncjack per le organizzazioni

L’MSRC ha aggiornato le sue linee guida per includere la seguente raccomandazione:

• Disabilitare l’hard match takeover, il quale consente ad Azure AD Connect di assumere il controllo di un oggetto gestito nel cloud e di cambiare l’origine dell’autorità per l’oggetto in Active Directory. Se invece la sincronizzazione è abilitata, una volta che l’origine dell’autorità di un oggetto viene rilevata da Azure AD Connect, le modifiche apportate ad Active Directory collegato ad Azure AD sovrascriveranno i dati originali di Azure AD, compreso l’hash della password. Un utente malintenzionato potrebbe utilizzare questa funzionalità per assumere il controllo degli oggetti gestiti nel cloud. Per mitigare questo rischio, disabilitare l’hard match takeover.

I test condotti da Semperis dimostrano che SyncJacking funziona anche dopo aver disabilitato l’hard match takeover. Ad ogni modo, è importante applicare questa linea guida per l’hardening.

• MSRC afferma che è importante abilitare l’MFA (autenticazione multi fattoriale) per tutti gli utenti che hanno accesso privilegiato in Azure AD o in AD. Attualmente, l’unico modo per mitigare questo attacco è applicare l’MFA a tutti gli utenti sincronizzati. Questo non è un sistema infallibile per impedire a un aggressore di accedere al proprio account in caso di abuso di SyncJacking, ma può essere utile. Bisogna assicurarsi di seguire tutte le linee guida di hardening fornite da Microsoft nel link precedente in modo da proteggere molte superfici di attacco nel proprio ambiente di identità ibrido. Per una protezione ancora maggiore, considerare l’implementazione di DSP per l’Identity Threat Detection and Response (ITDR).

Fonte foto Pixabay_Jackson

Contenuti correlati

• 
  Avvicendamento al CINI Cybersecurity National Lab

  La Direzione del CINI Cybersecurity National Lab rivolge i migliori auguri di buon lavoro al nuovo Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), Andrea Quacivi, rinnovando la piena disponibilità a proseguire e rafforzare la collaborazione istituzionale...
• 
  Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescita

  Rockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of Smart Manufacturing Report. La ricerca evidenzia un cambiamento nell’approccio dei produttori italiani alla trasformazione digitale: oggi, infatti, crescita ed espansione della capacità produttiva...
• 
  Si delinea il programma di secsolutionforum 2026

  Secsolutionforum 2026 torna in presenza il 7 e 8 ottobre 2026 a BolognaFiere, all’interno di Urban Tech 2026 – The Urban Technology Show, l’ecosistema dedicato a e-mobility, traffic, commuting, tlc & data ed environment. Dopo sei edizioni...
• Manifatturiero italiano sotto attacco: ecco il paradosso che i dati non raccontano

  “Never touch a running system”: è il principio non scritto che governa la gestione dei macchinari in molti stabilimenti italiani. Non per resistenza al cambiamento, ma perché ogni intervento può avere un costo operativo immediato e, a volte,...
• 
  Tra crescente consapevolezza e incompleta maturità

  Le aziende italiane aumentano l’attenzione alla cybersecurity, ma restano divari operativi, soprattutto nelle PMI. Tra minacce sempre più evolute e nuove tecnologie, emerge la necessità di un approccio strutturato, resiliente e orientato al modello Zero Trust Leggi...
• 
  Il punto debole dell’industria? La sicurezza OT

  Minacce cyber in aumento e nuove normative spingono la sicurezza OT al centro delle strategie industriali. Tra ritardi organizzativi e nuove tecnologie, le aziende devono evolvere per proteggere asset critici e continuità operativa Leggi l’articolo
• 
  Difendere le reti IT-OT

  La convergenza sempre più spinta fra reti IT e OT, così come la diffusione di sistemi di industrial IoT hanno reso più che mai cruciale proteggere la comunicazione dati con dispositivi di sicurezza sia a livello hardware...
• 
  SPS Italia, un ecosistema di contenuti e soluzioni per la fabbrica del futuro

  È iniziato il conto alla rovescia per la quattordicesima edizione di SPS Italia, che si sviluppa su sei padiglioni e propone una panoramica sulle tecnologie abilitanti per la fabbrica e sui trend che guidano la trasformazione della...
• 
  Proofpoint inaugura il suo Centro di Innovazione Europeo a Parigi

  Proofpoint, azienda esperta di cybersicurezza e compliance, annuncia l’apertura del Centro di Innovazione a Parigi, che segna un passo significativo nel continuo investimento dell’azienda in innovazione e ricerca e sviluppo in Europa. Il centro è stato inaugurato con...
• 
  Adaptit presenta la piattaforma IoT interoperabile EYEvNEXT

  Dopo il debutto nel mercato italiano, Adaptit amplia la propria presenza nel settore delle infrastrutture critiche e della sicurezza OT annunciando EYEvNEXT, una nuova piattaforma interoperabile progettata per trasformare il modo in cui aziende pubbliche e private monitorano,...