偵測

可疑的「目錄同步處理帳戶」角色指派

HIGH

語言:

說明

Entra ID 內建的「目錄同步處理帳戶」角色已指派給 Entra 服務帳戶,這些帳戶由「Microsoft Entra Connect」(前稱「Azure AD Connect」) 或「Microsoft Entra Cloud Sync」(前稱「Azure AD Connect Cloud Sync」) 使用,以完成從內部部署 Active Directory 到雲端 Entra ID 的目錄同步作業

攻擊者可以將此角色指派給他們所控制的安全性主體 (例如使用者、服務主體或群組),以達到特權提升​或進行潛伏​的目的。具體而言,此角色可能吸引攻擊者的原因如下:

  • 它會授予多個 Entra ID 機密權限。
  • 由於 Entra ID 管理員通常不會指派此角色,因此它在 Azure 和 Entra 入口網站中會處於隱藏狀態,不會出現在 Entra 角色清單和安全性主體的「已指派角色」區段中。由於具有這種能夠掩人耳目的特性,使其成為神不知鬼不覺地發動攻擊的有效方法。

這種潛在的濫用情況在 Tenable Research 部落格中有專門說明的文章,該文章的標題為「透過 Entra ID 的『目錄同步處理帳戶』角色進行隱匿潛伏

此曝險指標使用多種啟發式來偵測獲指派此高風險角色的可疑安全性主體,尤其是當這些帳戶與 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 中一般的 Entra 服務帳戶不相符時。

解決方案

首先針對已識別的可疑安全性主體進行正當性評估​:

  • 如果 Entra 租用戶不屬於混合型 (即未與 Active Directory 同步),則不應獲派此角色。報告中的安全性主體若不是原混合型租用戶所留下的設定,則可以斷定為不正當主體。
  • 這是使用者類型的安全性主體嗎?沒有任何正當情況下,會為服務主體或群組指派此角色。
  • 此安全性主體是什麼時候建立的?該日期是否與使用「Microsoft Entra Connect」或「Microsoft Entra Cloud Sync」設定目錄同步作業的日期一致?
  • 在稽核記錄中: 此安全性主體是否會定期執行目錄同步作業,例如使用者更新、建立、刪除、變更密碼等?
  • 在登入記錄中: 此安全性主體是否會定期透過可能屬於貴組織的 IP 位址進行驗證?
  • 如果您使用 Microsoft Entra Connect,其使用者主體名稱是否包含預期的內部部署 Microsoft Entra Connect 伺服器名稱?(例如,如果伺服器名為「AADCONNECT」,則可能的 UPN 如下:「Sync_AADCONNECT_ @…」)。其顯示名稱是否為預期中的「內部部署目錄同步服務帳戶」?

如果您懷疑系統受到入侵,請採取以下行動:

  • 執行鑑識調查​以確認攻擊事件是否屬實、確定攻擊時間和攻擊者,並評估疑似入侵事件的程度。
  • 審查稽核記錄​以找尋潛在的惡意動作。

在 Azure 入口網站中無法查看「目錄同步處理帳戶」角色及其指派對象。如欲檢視,您必須使用其他方法,例如透過 Microsoft Graph PowerShell 指令程式 或直接使用下列 API: 

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *

您也可以使用現已淘汰的 Azure AD PowerShell 指令程式:

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember

最後,若確定該安全性主體沒有獲派此角色的正當理由,且 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 也不會使用此角色,則您應移除這項指派。移除作業可以透過 Remove-AzureADDirectoryRoleMember Azure AD PowerShell 指令程式或 Remove-MgDirectoryRoleMemberByRef Microsoft Graph PowerShell 指令程式完成。

指標詳細資料

名稱: 可疑的「目錄同步處理帳戶」角色指派

代碼名稱: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

嚴重性: High

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: