Tomer Nahum

Actualización del 13 de enero de 2026: El Centro de Respuesta de Seguridad de Microsoft (MSRC) ha confirmado que la técnica SyncJacking descrita en esta publicación es una vulnerabilidad importante de escalada de privilegios . Microsoft ha implementado un refuerzo de la seguridad a nivel de plataforma en Entra Connect para bloquear la reasignación no autorizada de cuentas, y se espera que su aplicación comience en marzo de 2026 para las versiones compatibles.

¿Qué es el SyncJacking?

Esta publicación describe un abuso de la sincronización de coincidencia exacta en Entra Connect que puede dar lugar a la apropiación de cuentas de Entra ID. Estos hallazgos se basan en la investigación que Semperis publicó en agosto, en la que se describía el abuso de la coincidencia aproximada (también conocida como coincidencia SMTP).

Esta vulnerabilidad SyncJacking significa que un atacante con ciertos privilegios puede abusar de la sincronización de coincidencias duras en Entra Connect para apoderarse completamente de cualquier cuenta Entra ID sincronizada, incluido el Administrador Global Activo.

Estos hallazgos se comunicaron rápidamente al Centro de Respuesta de Seguridad de Microsoft (MSRC), que actualizó las directrices de endurecimiento para proporcionar mitigaciones más específicas contra el abuso de las coincidencias duras. Aunque el MSRC respondió rápidamente y actualizó las directrices de endurecimiento, las pruebas posteriores muestran que el ataque puede tener éxito incluso después de aplicar estas mitigaciones. Por lo tanto, recomendamos encarecidamente una mitigación adicional para combatir el abuso y la posible apropiación de cuentas Entra ID.

Entra Connect y el emparejamiento duro

Como se explica en "Abuso de concordancia SMTP en Azure AD", Entra Connect es una aplicación de Microsoft que soporta identidad híbrida mediante la sincronización de objetos AD on-prem con objetos Entra ID. Las características de Entra Connect incluyen sincronización de hash de contraseña, autenticación pass-through, integración de federación (con ADFS) y sincronización (con Entra Connect Sync). La toma de control de cuentas de Entra ID de coincidencia difícil que se analiza aquí abusa de la sincronización de hash de contraseñas y de las funciones generales de sincronización de Entra Connect.

Para lograr la integridad entre el entorno on-prem y los inquilinos de Entra ID en implementaciones de identidad híbrida, Entra Connect empareja objetos de usuario entre AD y Entra ID. Un atributo de anclaje de origen, elegido durante la configuración y sincronización iniciales de Entra Connect, identifica de forma exclusiva cada uno de estos objetos de usuario entre AD y Entra ID. Entra Connect utiliza este atributo para emparejar objetos de usuario entre Entra ID y AD utilizando una de dos técnicas:

  • Emparejamiento duro
  • Ajuste suave (SMTP)

Emparejamiento duro

Si permite que Azure gestione el anclaje de origen, Entra Connect busca uno de los dos posibles atributos sourceAnchor:

  • Entra Connect versión 1.1.486.0 o anterior busca el objectGUID
  • Entra Connect versión 1.1.524.0 o posterior busca el mS-DS-ConsistencyGuid

Si el atributo mS-DS-ConsistencyGuid no está rellenado, Entra Connect escribe el objectGUID del usuario en ese atributo. El valor correspondiente en el objeto Entra ID es ImmutableID (el objectGUID codificado en base64). La Figura 1 muestra un ejemplo de hard matching: obtener el ImmutableID de un objeto Entra ID a partir del objectGUID del usuario on-prem AD.

ImmutableID y hard matching - syncjacking
Figura 1

Este mecanismo es el objeto de los abusos de los que se habla en este post.

Sincronización del hash de la contraseña

La sincronización del hash de la contraseña, un método de autenticación que está habilitado por defecto en los entornos de identidad híbrida Entra ID, sincroniza el hash de la contraseña del usuario en AD local con Entra ID cada dos minutos. Esta sincronización permite el uso de la misma contraseña para iniciar sesión tanto en AD como en Entra ID. (Para una explicación detallada de la sincronización del hash de la contraseña, consulte "Entender la sincronización del hash de la contraseña de Azure AD").

Cómo pueden utilizar los atacantes el hard matching para facilitar la apropiación de cuentas Entra ID

Para realizar este ataque, un atacante sólo necesita dos permisos:

  • Write-all-Properties o GenericWrite en una cuenta AD on-prem no sincronizada
  • Eliminar en una cuenta AD on-prem sincronizada

El siguiente ejemplo ilustra este ataque en una cuenta con una asignación de rol de Administrador Global Activo en Entra ID. Tenga en cuenta que este ataque funciona en cualquier cuenta sincronizada.

Nutshell es un Administrador Global Activo sincronizado en Entra ID con el UPN nutshell@xd6z7.onmicrosoft.com (Figura 2, Figura 3).

Adquisición sincronizada de cuentas Azure AD
Figura 2
función de cáscara de nuez
Figura 3

Como nutshell es un usuario sincronizado, tiene presencia en el entorno AD on-prem. El atacante tiene permiso Write-All-Properties en una cuenta AD on-prem no sincronizada AliceIC. El atacante también tiene permiso para Eliminar en la cuenta de AD local sincronizada. Además, el atacante tiene la contraseña de la cuenta AliceIC.

Así es como el atacante puede usar el usuario on-prem AliceIC para secuestrar la cuenta de Entra ID.

Primero, el atacante copia el UPN del ID de Entra en el atributo userPrincipalName del AD on-prem de AliceIC (Figura 4).

UPN copiado
Figura 4

La Figura 5 muestra la población del atributo mS-DS-ConsistencyGuid de AD on-prem.

Población de mS-DS-ConsistencyGuid on-prem
Gráfico 5

A continuación, el atacante copia el valor del atributo nutshell mS-DS-ConsistencyGuid en el atributo AliceIC mS-DS-ConsistencyGuid (Figura 6).

Copia del valor del atributo nutshell al atributo AliceIC
Figura 6

Finalmente, el atacante elimina la cuenta nutshell on-prem y espera a la sincronización (Figura 7).

Active Directory - Supresión de la cuenta nutshell on-prem
Gráfico 7

Ahora, la cuenta AliceIC on-prem AD se sincroniza con la cuenta Entra ID nutshell. Dado que Entra Connect utiliza la sincronización de hash de contraseña por defecto, la contraseña de AliceIC y el atributo DisplayName también se sincronizan con la cuenta de Entra ID de nutshell.

AliceIC es ahora un Administrador Global Activo y actúa en nombre de nutshell (Figura 8). Como se mencionó anteriormente, no encontrará ningún rastro de estos cambios en los registros on-prem y sólo un rastro mínimo en los registros de Entra ID.

Adquisición de cuentas
Figura 8

Es importante tener en cuenta por qué los atacantes podrían explotar este método:

  • El uso de hard matching para facilitar el traspaso de cuentas de Entra ID no deja rastro en los registros de AD on-prem y sólo un rastro mínimo en los registros de Entra ID.
  • El ataque sólo requiere dos permisos en las cuentas de destino para hacerse completamente con el control de cualquier cuenta sincronizada con cualquier rol.
  • Un atacante que posea permisos relativamente altos en AD puede tomar el control de Entra ID tomando cualquier cuenta sincronizada con una asignación Activo/Elegible.

Posibles abusos

Delegación de usuarios. Si a un usuario o grupo se le ha delegado el control para gestionar usuarios en una o más unidades organizativas (OUs) con usuarios sincronizados y no sincronizados, entonces ese usuario o grupo tiene el control total de estos objetos y puede secuestrar cualquiera de ellos-teóricamente incluso convertirse en Administrador Global.

Operadores de cuentas. Cualquier usuario del grupo Operadores de cuentas puede gestionar todas las cuentas y tiene privilegios de creación de cuentas. Por lo tanto, cualquier Operador de Cuenta puede secuestrar a cualquier usuario sincronizado.

Detección de SyncJacking

Semperis Directory Services Protector ( DSP) recoge los cambios de Entra ID y los datos de AD on-prem y utiliza estos datos para detectar intentos de explotar esta vulnerabilidad. A pesar de los mínimos rastros dejados por el ataque, las capacidades específicas de DSPpermiten su detección.

Otras formas de detectar el uso indebido de SyncJacking

Usted puede razonablemente (aunque no definitivamente) asumir que este ataque ha ocurrido si dos eventos de registro ocurren uno tras otro en Entra ID: "Cambiar contraseña de usuario" seguido de "Actualizar usuario" con un DisplayName cambiado y un objetivo que usa el mismo UPN(Figura 9, Figura 10).

"Evento "Cambiar contraseña de usuario
Figura 9
"Evento "Actualizar usuario
Figura 10

Corrección de SyncJacking

En 2022, el MSRC actualizó sus directricespara incluir la siguiente recomendación:

Deshabilite la toma de control de coincidencias exactas. La toma de control de coincidencias exactas permite a Entra Connect tomar el control de un objeto administrado en la nube y cambiar la fuente de autoridad del objeto a Active Directory. Una vez que Entra Connect toma el control de la fuente de autoridad de un objeto, los cambios realizados en el objeto de Active Directory vinculado al objeto de Entra ID sobrescribirán los datos originales de Entra ID, incluido el hash de contraseña, si está habilitada la sincronización de hash de contraseña. Un atacante podría utilizar esta capacidad para tomar el control de los objetos gestionados en la nube. Para mitigar este riesgo, desactive la adquisición de coincidencias exactas.

Nuestras pruebas demuestran que el SyncJacking funciona incluso después de desactivar la toma de partido dura. En cualquier caso, es importante aplicar esta directriz de endurecimiento.

MSRC afirma que es importante habilitar MFA para todos los usuarios que tienen acceso privilegiado en Entra ID o en AD. Actualmente, la única manera de mitigar este ataque es aplicar MFA a todos los usuarios sincronizados. Esta no es una forma segura de evitar que un atacante acceda a su cuenta si se abusa del SyncJacking, pero puede ayudar. Asegúrese de seguir todas las directrices de refuerzo proporcionadas por Microsoft en el enlace anterior para mitigar muchas superficies de ataque en su entorno de identidad híbrida. Para una protección aún mayor, considere la posibilidad de implementar DSP para la Detección y Respuesta a Amenazas de Identidad (ITDR).

Actualización de 2026: vulnerabilidad confirmada; solución en curso.

Desde la publicación de esta investigación original, MSRC ha confirmado la vulnerabilidad subyacente a la técnica de ataque SyncJacking.

Como se ha explicado anteriormente en este blog, SyncJacking abusa del comportamiento de coincidencia de identidades en entornos híbridos para reasignar una cuenta Entra ID existente a un objeto local controlado por el atacante, lo que da lugar a la apropiación total de la cuenta. Este comportamiento no es solo el resultado de una configuración incorrecta, sino también de cómo se aplicaron los límites de confianza de la sincronización.

Tras una divulgación responsable, Microsoft reconoció el riesgo y ha estado trabajando en protecciones a nivel de plataforma para evitar este abuso. Microsoft ha implementado ahora un refuerzo de la seguridad en Entra Connect. Este refuerzo está diseñado para bloquear los escenarios de reasignación de cuentas no autorizadas que permiten los ataques de SyncJacking.

Microsoft ha anunciado que estas protecciones se están implementando y aplicando, y se espera que su aplicación plena comience en marzo de 2026, dependiendo de la configuración del inquilino y la versión de Entra Connect. Las organizaciones deben asegurarse de que están ejecutando una versión compatible y actualizada de Entra Connect para beneficiarse de estas protecciones.

Esta actualización marca una transición importante. Lo que originalmente describimos como una ruta de ataque híbrida avanzada contra la identidad es ahora una vulnerabilidad confirmada por MSRC y abordada a nivel de la plataforma de identidad.

Por qué es importante esta investigación

Como se ha mostrado anteriormente en este blog, la sincronización de identidades es un potente puente de confianza entre Active Directory local y Entra ID. La confirmación y la corrección de esta vulnerabilidad refuerzan una conclusión clave: los componentes de identidad híbridos deben tratarse como infraestructura crítica para la seguridad, no solo como herramientas de integración.

Calendario de divulgación

  • 6 de octubre de 2022: Semperis descubre el abuso y lo denuncia al MSRC.
  • 12 de octubre de 2022: MSRC responde con directrices de refuerzo.
  • 18 de octubre de 2022: Semperis responde al MSRC con nueva información; el ataque sigue funcionando a pesar de las medidas de mitigación aplicadas.
  • 27 de octubre de 2022: MSRC reabre el caso para revisar la información.
  • 4 de noviembre de 2022: MSRC actualiza las directrices de refuerzo de la documentación para mitigar específicamente el abuso de la coincidencia exacta y señala que el comportamiento de coincidencia exacta aquí descrito es intencionado.
  • 7 de noviembre de 2022: Semperis responde al MSRC; el ataque sigue funcionando incluso aplicando las directrices de refuerzo.
  • 11 de noviembre de 2022: MSRC sostiene que el comportamiento es intencionado.
  • Mayo de 2025: MSRC confirma esta vulnerabilidad como una vulnerabilidad importante de escalada de privilegios .
  • Finales de 2025: Microsoft anuncia el refuerzo de la seguridad de Entra Connect para evitar el abuso de la reasignación de cuentas.
  • Marzo de 2026 (previsto): Comienza la aplicación de las protecciones para las versiones compatibles de Entra Connect.

Agradecimientos

Un agradecimiento especial a las siguientes personas

  • Andrea Pierini (@decoder_it)
  • Charlie Clark (@exploitph)
  • Sapir Federovsky (@sapirxfed)

Agradecimiento especial al MSRC por reconocer la exposición y responder rápidamente con directrices actualizadas.

Más información