Tomer Nahum

Aggiornamento del 13 gennaio 2026: la tecnica SyncJacking descritta in questo post è stata confermata dal Microsoft Security Response Center (MSRC) come una vulnerabilità importante di escalation dei privilegi . Microsoft ha implementato un rafforzamento della sicurezza a livello di piattaforma in Entra Connect per bloccare la rimappatura non autorizzata degli account, con l'applicazione prevista a partire da marzo 2026 per le versioni supportate.

Che cos'è il SyncJacking?

Questo post descrive un abuso della sincronizzazione hard matching in Entra Connect che può portare all'appropriazione dell'account Entra ID. Questi risultati si basano sulla ricerca pubblicata da Semperis ad agosto, che descriveva l'abuso del soft matching (noto anche come SMTP matching).

Questa vulnerabilità SyncJacking significa che un utente malintenzionato con determinati privilegi può abusare della sincronizzazione delle corrispondenze in Entra Connect per assumere completamente il controllo di qualsiasi account Entra ID sincronizzato, compreso l'amministratore globale attivo.

Questi risultati sono stati prontamente segnalati al Microsoft Security Response Center (MSRC), che ha aggiornato le linee guida di hardening per fornire mitigazioni più specifiche contro l'abuso di hard matching. Sebbene l'MSRC abbia risposto rapidamente e aggiornato le linee guida di hardening, ulteriori test dimostrano che l'attacco può avere successo anche dopo l'implementazione di queste mitigazioni. Pertanto, consigliamo vivamente di adottare ulteriori misure di mitigazione per contrastare l'abuso e il potenziale rilevamento dell'account Entra ID.

Entra Connect e abbinamento rigido

Come spiegato in "Abuso di corrispondenza SMTP in Azure AD", Entra Connect è un'applicazione Microsoft che supporta l'identità ibrida sincronizzando gli oggetti AD on-prem con gli oggetti Entra ID. Le caratteristiche di Entra Connect includono la sincronizzazione dell'hash delle password, l'autenticazione pass-through, l'integrazione della federazione (con ADFS) e la sincronizzazione (con Entra Connect Sync). L'acquisizione di account Entra ID hard-matching qui discussa sfrutta la sincronizzazione dell'hash della password e le funzioni generali di sincronizzazione di Entra Connect.

Per ottenere l'integrità tra l'ambiente on-prem e i tenant Entra ID nelle implementazioni di identità ibride, Entra Connect abbina gli oggetti utente tra AD ed Entra ID. Un attributo di ancoraggio della fonte, scelto durante la configurazione e la sincronizzazione iniziale di Entra Connect, identifica in modo univoco ciascuno di questi oggetti utente tra AD ed Entra ID. Entra Connect utilizza questo attributo per abbinare gli oggetti utente tra Entra ID e AD utilizzando una delle due tecniche:

  • Corrispondenza difficile
  • Corrispondenza morbida (SMTP)

Corrispondenza difficile

Se si lascia che Azure gestisca l'ancora di origine, Entra Connect cerca uno dei due possibili attributi sourceAnchor:

  • Entra Connect versione 1.1.486.0 o precedente cerca l'oggettoGUID
  • Entra Connect versione 1.1.524.0 o più recente cerca il mS-DS-ConsistencyGuid

Se l'attributo mS-DS-ConsistencyGuid non è popolato, Entra Connect scrive l'objectGUID dell'utente in tale attributo. Il valore corrispondente sull'oggetto Entra ID è ImmutableID (l'objectGUID codificato in base64). La Figura 1 mostra un esempio di hard matching: ottenere l'ImmutableID di un oggetto Entra ID dall'objectGUID dell'utente di AD on-prem.

ImmutableID e hard matching - syncjacking
Figura 1

Questo meccanismo è l'oggetto dell'abuso discusso in questo post.

Sincronizzazione dell'hash della password

La sincronizzazione dell'hash della password, un metodo di autenticazione abilitato per impostazione predefinita negli ambienti di identità ibrida Entra ID, sincronizza l'hash della password dell'utente in AD on-premise con Entra ID ogni due minuti. Questa sincronizzazione consente di utilizzare la stessa password per accedere sia ad AD che a Entra ID. (Per una spiegazione dettagliata della sincronizzazione dell'hash della password, vedere "Informazioni sulla sincronizzazione dell'hash della password di Azure AD").

In che modo gli aggressori possono utilizzare la corrispondenza difficile per facilitare l'acquisizione dell'account Entra ID

Per eseguire questo attacco, un aggressore ha bisogno solo di due autorizzazioni:

  • Write-all-Properties o GenericWrite su un account AD on-prem non sincronizzato
  • Eliminazione su un account AD on-prem sincronizzato

L'esempio seguente illustra questo attacco a un account con un ruolo di amministratore globale attivo assegnato in Entra ID. Si noti che questo attacco funziona su qualsiasi account sincronizzato.

Nutshell è un amministratore globale attivo sincronizzato in Entra ID con l'UPN nutshell@xd6z7.onmicrosoft.com (Figura 2, Figura 3).

Acquisizione sincronizzata dell'account Azure AD
Figura 2
ruolo di nutshell
Figura 3

Poiché nutshell è un utente sincronizzato, è presente nell'ambiente AD on-prem. L'aggressore dispone dell'autorizzazione Write-All-Properties su un account AliceIC di AD on-prem non sincronizzato. L'aggressore ha anche l'autorizzazione a cancellare sull'account nutshell di AD on-prem sincronizzato. Inoltre, l'aggressore possiede la password dell'account AliceIC.

Ecco come l'utente malintenzionato può utilizzare l'utente on-premise AliceIC per dirottare l'account nutshell Entra ID.

Innanzitutto, l'attaccante copia l'UPN del nutshell Entra ID nell'attributo userPrincipalName di AliceIC on-prem AD ( Figura 4).

Copiato UPN
Figura 4

La Figura 5 mostra la popolazione dell'attributo mS-DS-ConsistencyGuid di nutshell on-prem AD.

Popolazione di mS-DS-ConsistencyGuid in loco
Figura 5

Successivamente, l'attaccante copia il valore dell'attributo nutshell mS-DS-ConsistencyGuid nell'attributo AliceIC mS-DS-ConsistencyGuid (Figura 6).

Copiare il valore dell'attributo nutshell nell'attributo AliceIC
Figura 6

Infine, l'attaccante elimina l'account nutshell on-prem e attende la sincronizzazione (Figura 7).

Active Directory - Eliminazione dell'account nutshell on-prem
Figura 7

Ora, l'account AliceIC di AD on-prem è sincronizzato con l'account Entra ID nutshell. Poiché Entra Connect utilizza la sincronizzazione dell'hash della password per impostazione predefinita, anche la password di AliceIC e l'attributo DisplayName vengono sincronizzati con l'account nutshell Entra ID.

AliceIC è ora un amministratore globale attivo e agisce per conto di nutshell (Figura 8). Come già detto, non si troverà traccia di queste modifiche nei registri on-prem e solo una traccia minima nei registri Entra ID.

Acquisizione del conto raggiunta
Figura 8

È importante notare perché gli aggressori potrebbero sfruttare questo metodo:

  • L'uso dell'hard matching per facilitare l'acquisizione dell'account Entra ID non lascia alcuna traccia nei registri AD on-prem e solo una traccia minima nei registri Entra ID.
  • L'attacco richiede solo due autorizzazioni sugli account di destinazione per prendere completamente il controllo di qualsiasi account sincronizzato con qualsiasi ruolo.
  • Un utente malintenzionato che dispone di autorizzazioni relativamente elevate in AD può assumere il controllo di Entra ID rilevando qualsiasi account sincronizzato con un'assegnazione Active/Eligible.

Potenziali abusi

Delega dell'utente. Se a un utente o a un gruppo è stato delegato il controllo della gestione degli utenti in una o più unità organizzative (UO) con utenti sincronizzati e non sincronizzati, l'utente o il gruppo in questione ha il pieno controllo di questi oggetti e può dirottarne uno qualsiasi, diventando teoricamente anche un Amministratore globale.

Operatori account. Qualsiasi utente del gruppo Operatori account può gestire tutti gli account e ha privilegi di creazione di account. Pertanto, qualsiasi Operatore account può dirottare gli utenti sincronizzati.

Rilevamento SyncJacking

Semperis Directory Services Protector ( DSP) raccoglie le modifiche dell'ID Entra e i dati dell'AD on-prem e li utilizza per rilevare i tentativi di sfruttamento di questa vulnerabilità. Nonostante le tracce minime lasciate dall'attacco, le capacità specifiche di DSPne consentono il rilevamento.

Altri modi per rilevare l'uso improprio di SyncJacking

È possibile ipotizzare ragionevolmente (anche se non definitivamente) che questo attacco si sia verificato se in Entra ID si verificano due eventi di registro uno dopo l'altro: "Cambia password utente" seguito da "Aggiorna utente" con un DisplayName modificato e un obiettivo che utilizza lo stesso UPN(Figura 9, Figura 10).

"Evento "Modifica password utente
Figura 9
"Evento "Aggiorna utente
Figura 10

Correzione del SyncJacking

Nel 2022, l'MSRC ha aggiornato le proprie linee guidaincludendo la seguente raccomandazione:

Disattiva l'acquisizione hard match. L'acquisizione hard match consente a Entra Connect di assumere il controllo di un oggetto gestito nel cloud e di modificare l'origine dell'autorità per l'oggetto in Active Directory. Una volta che l'origine dell'autorità di un oggetto viene acquisita da Entra Connect, le modifiche apportate all'oggetto Active Directory collegato all'oggetto Entra ID sovrascriveranno i dati Entra ID originali, incluso l'hash della password, se Password Hash Sync è abilitato. Un utente malintenzionato potrebbe utilizzare questa funzionalità per assumere il controllo degli oggetti gestiti nel cloud. Per mitigare questo rischio, disattivare l'acquisizione della corrispondenza esatta.

I nostri test dimostrano che SyncJacking funziona anche dopo aver disabilitato l'hard match takeover. In ogni caso, è importante applicare questa linea guida per l'hardening.

MSRC afferma che è importante abilitare l'MFA per tutti gli utenti che hanno accesso privilegiato in Entra ID o in AD. Attualmente, l'unico modo per mitigare questo attacco è applicare l'MFA a tutti gli utenti sincronizzati. Questo non è un modo sicuro per impedire a un aggressore di accedere al vostro account in caso di abuso di SyncJacking, ma può essere utile. Assicuratevi di seguire tutte le linee guida di hardening fornite da Microsoft nel link precedente per mitigare molte superfici di attacco nel vostro ambiente di identità ibrido. Per una protezione ancora maggiore, considerate l'implementazione di DSP per Identity Threat Detection and Response (ITDR).

Aggiornamento 2026: vulnerabilità confermata; correzione in corso

Dalla pubblicazione di questa ricerca originale, MSRC ha confermato la vulnerabilità alla base della tecnica di attacco SyncJacking.

Come spiegato in precedenza in questo blog, SyncJacking sfrutta il comportamento di corrispondenza delle identità negli ambienti ibridi per rimappare un account Entra ID esistente su un oggetto locale controllato dall'autore dell'attacco, ottenendo così il controllo completo dell'account. Questo comportamento non è il risultato di una semplice configurazione errata, ma di come sono stati applicati i confini di fiducia della sincronizzazione.

A seguito di una segnalazione responsabile, Microsoft ha riconosciuto il rischio e ha lavorato su protezioni a livello di piattaforma per prevenire questo abuso. Microsoft ha ora implementato un rafforzamento della sicurezza in Entra Connect. Questo rafforzamento è progettato per bloccare scenari di rimappatura non autorizzata degli account che consentono attacchi SyncJacking.

Microsoft ha annunciato che queste protezioni sono in fase di implementazione e applicazione, con l'applicazione completa prevista per marzo 2026, a seconda della configurazione del tenant e della versione di Entra Connect. Le organizzazioni devono assicurarsi di utilizzare una versione supportata e aggiornata di Entra Connect per poter beneficiare di queste protezioni.

Questo aggiornamento segna una transizione importante. Quello che inizialmente avevamo descritto come un percorso di attacco ibrido avanzato all'identità è ora una vulnerabilità confermata da MSRC e risolta a livello di piattaforma di identità.

Perché questa ricerca è importante

Come illustrato in precedenza in questo blog, la sincronizzazione delle identità è un potente ponte di fiducia tra Active Directory locale ed Entra ID. La conferma e la correzione di questa vulnerabilità rafforzano un concetto fondamentale: i componenti di identità ibrida devono essere trattati come infrastrutture critiche per la sicurezza, non solo come strumenti di integrazione.

Tempistica di divulgazione

  • 6 ottobre 2022: Semperis scopre l'abuso e lo segnala all'MSRC.
  • 12 ottobre 2022: MSRC risponde con linee guida di rafforzamento.
  • 18 ottobre 2022: Semperis risponde all'MSRC con nuove informazioni; l'attacco continua a funzionare nonostante le misure di mitigazione applicate.
  • 27 ottobre 2022: MSRC riapre il caso per riesaminare le informazioni.
  • 4 novembre 2022: MSRC aggiorna le linee guida per il rafforzamento della documentazione al fine di mitigare in modo specifico gli abusi di hard matching e sottolinea che il comportamento di hard matching qui descritto è intenzionale.
  • 7 novembre 2022: Semperis risponde al MSRC; l'attacco continua a funzionare anche con l'applicazione delle linee guida di rafforzamento.
  • 11 novembre 2022: MSRC sostiene che il comportamento è intenzionale.
  • Maggio 2025: MSRC conferma questa vulnerabilità come una vulnerabilità importante di escalation dei privilegi .
  • Fine 2025: Microsoft annuncia il rafforzamento della sicurezza di Entra Connect per prevenire gli abusi di rimappatura degli account.
  • Marzo 2026 (previsto): inizio dell'applicazione delle protezioni per le versioni supportate di Entra Connect

Ringraziamenti

Un ringraziamento speciale alle seguenti persone:

  • Andrea Pierini (@decoder_it)
  • Charlie Clark (@exploitph)
  • Sapir Federovsky (@sapirxfed)

Un riconoscimento speciale al MSRC per aver riconosciuto l'esposizione e aver risposto rapidamente con linee guida aggiornate.

Per saperne di più