Kompromittierungen von Azure AD bei AAD Connect erkennen und abwenden

Azure
Bildquelle: Budrul Chukrut / Shutterstock.com

Im April 2023 meldete die Threat Intelligence Abteilung von Microsoft eine Kompromittierung einer hybriden Umgebung durch Mango Sandstorm (ehemals MERCURY)[G0069] – einen nationalstaatlichen Akteur, der mit dem iranischen Ministerium für Nachrichtenwesen und Sicherheit in Verbindung steht.

Den Bedrohungsakteuren gelang es, von der lokalen Umgebung auf Azure AD umzusteigen, indem sie das System infiltrierten, auf dem der Azure AD Connect-Agent installiert war. Dabei handelt es sich um ein kostenloses Microsoft-Tool zur Synchronisierung von lokalen AD-Identitäten mit Azure AD und ermöglicht Single Sign-On (SSO) und föderierte Identitätsdienste.

Anzeige

Bei diesem Vorfall verschafften sich die Bedrohungsakteure Zugang zu einem hoch privilegierten Konto, das sie für den Zugriff auf ein System nutzten, auf dem der Azure AD Connect-Agent installiert war. Wie bereits erwähnt, ist Azure AD Connect ein wesentlicher Bestandteil einer hybriden Umgebung, der lokale Verzeichnisse mit Azure AD synchronisiert und so eine gemeinsame Identität für den Zugriff auf Cloud- und lokale Ressourcen bereitstellt.

Der Azure AD Connect Express-Installationsprozess erstellt mehrere Konten sowohl im lokalen AD als auch in Azure AD. Zwei Hauptkonten sind das AD DS Connector-Konto (mit dem Präfix MSOL_) und das Azure AD Connector-Konto (mit dem Präfix Sync_[ServerName]_). Beide Konten sind mit umfangreichen Berechtigungen ausgestattet. Ersteres hat die Berechtigung, Verzeichnisänderungen zu replizieren, Passwörter zu ändern, Benutzer zu modifizieren usw., während letzteres die Rolle Verzeichnis-Synchronisierungskonten zugewiesen bekommt. In älteren Versionen kann diesem Konto sogar die Rolle „Globaler Administrator (GA)“ zugewiesen sein.

Die Bedrohungsakteure nutzten das Tool AADInternals [S0677], um die Klartext-Anmeldeinformationen des privilegierten Azure-AD-Connector-Kontos zu extrahieren, das anschließend verwendet wurde, um von der lokalen AD-Umgebung in die Azure-AD-Umgebung zu wechseln. Der Bedrohungsakteur verwendete das Cmdlet Get-AADIntSyncCredentials, das es jedem lokalen Administrator auf dem installierten Azure AD Connect-System ermöglicht, die Klartext-Anmeldeinformationen sowohl des AD DS Connector-Kontos als auch des Azure AD Connector-Kontos zu extrahieren. Der Bedrohungsakteur verwendete die extrahierten Klartext-Anmeldeinformationen, um sich bei Azure AD anzumelden. Zum Leidwesen des Opfers hatte das Azure AD Connector-Konto die Rolle des globalen Administrators (GA), da es für eine alte Lösung (DirSync) eingerichtet wurde.

Empfehlungen zum Schutz vor Azure AD-Kompromittierungen

Die folgenden Schritte können Unternehmen einleiten, um ihre hybriden Umgebungen zu schützen:

Sie müssen immer die neueste Version des Azure AD Connect-Agenten zu nutzen. Die Systeme, auf denen der Azure AD Connect-Agent installiert ist, sollten als Tier-0-Ressourcen (Control Plane) betrachtet werden. Der administrative Zugriff auf diese Server sollte beschränkt werden und nur für Domänenadministratoren oder andere streng kontrollierte Sicherheitsgruppen gewährt werden. Für die Verwaltung dieser Server sollten Privileged Access Workstations (PAWs) verwendet werden. Den Connector-Konten sollten keine globalen Administratoren oder andere hochprivilegierte Rollen zugewiesen werden. Die Anzahl der globalen Administratoren sollte auf weniger als 5 begrenzt werden.

Für die Verwaltung von Azure AD sollten reine Cloud-Konten verwendet und die Verwendung von synchronisierten lokalen Konten für die Zuweisung von Azure AD-Rollen sollte vermieden werden. Nicht alle lokalen Konten müssen mit Azure AD synchronisiert werden. Unternehmen sollten nur die erforderlichen lokalen Identitäten auf der Grundlage der Geschäftsanforderungen identifizieren und synchronisieren. Es empfiehlt sich die Best Practices von Microsoft zur Absicherung von Azure AD Connect-Bereitstellungen umzusetzen. Die Multi-Faktor-Authentifizierung (MFA) sollte für alle Konten aktiviert werden.

Privileged Identity Management (PIM) sollte verwendet werden, um Just-in-Time-Zugriff zu gewähren. Diese PIM-Aktivierung sollte genauso wie hochprivilegierte Rollen wie Global Administrators kontrolliert werden. Unified Audit Logging (UAL) im Security and Compliance Center sollte aktiviert werden. Diese Aktivierung ermöglicht es Administratoren, Aktionen innerhalb von Office 365 zu untersuchen und zu suchen.

Gegebenenfalls sollte die Authentifizierung über Legacy-Protokolle deaktiviert werden, um die Angriffsfläche der Organisation zu verringern. Es gibt mehrere Legacy-Protokolle, die mit Exchange Online verbunden sind und keine MFA-Funktionen unterstützen, wie POP3 und IMAP. Nach Möglichkeit empfiehlt es sich in Azure AD-Richtlinien für bedingten Zugriff zu erlassen, um die Anzahl der Benutzer zu begrenzen, die Legacy-Protokoll-Authentifizierungsmethoden verwenden.

www.logpoint.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.