의심스러운 AD 동기화 역할 할당

Microsoft Entra ID를 Active Directory와 동기화하려면 Microsoft Entra Connect(이전의 Azure AD Connect)를 사용하거나, Microsoft Entra Cloud Sync(이전의 Azure AD Connect Cloud Sync)를 사용하면 됩니다. Microsoft에서는 이러한 동기화 도구가 사용하는 서비스 계정을 위해 특별히 설계된 기본 제공 역할을 두 개 제공합니다.

• 기본 역할은 디렉터리 동기화 계정​(ID: d29b2b05-8046-44ba-8758-1e26182fcf32)입니다. 이 역할의 악용 가능성은 Tenable Research 블로그 게시물, Entra ID의 "디렉터리 동기화 계정" 역할을 이용한 은밀한 지속성에 자세히 설명했습니다.
• 온프레미스 디렉터리 동기화 계정​(ID: a92aed5d-d78a-4d16-b381-09adb37eb3b0)은 2024년 7월에 Tenable에서 처음 식별한 새 역할입니다. 이 역할에는 "디렉터리 동기화 계정" 역할과 유사한 설명 및 동일한 권한이 있습니다. 하지만 Tenable Research에서 발견한 바에 따르면 Microsoft Entra Connect와 Entra Cloud Sync 모두 이 역할을 사용하지 않으며 현재 알려진 정상 용도가 없어 해당 역할의 목적과 악용 가능성에 관한 우려가 제기됩니다.

공격자는 이러한 역할을 자신이 통제하는 보안 주체(예: 사용자, 서비스 주체 또는 그룹)에 할당하여 권한 상승이나 장기 지속을 가능하게 할 수 있습니다. 이러한 역할이 특히 매력적인 몇 가지 이유는 다음과 같습니다.

• 이러한 역할은 권한이 있는 상태를 유지합니다. Microsoft에서 2024년 8월 보안 강화 업데이트 중에 이러한 역할에서 몇 가지 중요한 Entra ID 권한을 제거하기는 했지만, Tenable Research에서 알아본 바에 따르면 이들 역할은 여전히 특정 API를 통해 묵시적인 권한을 유지하고 있습니다. 따라서 이들 역할은 계속해서 강력한 액세스 권한을 제공합니다.
• 이들은 은밀하게 활동합니다. 관리자가 이런 역할을 수동으로 할당하는 일은 드물기 때문에, 이런 역할은 Azure와 Entra 포털 양쪽 모두에서 숨겨져 있습니다. Entra 역할 목록에 표시되지도 않고, 주어진 주체의 "할당된 역할" 섹션 아래에도 표시되지 않아 은밀하게 사용하기에 이상적입니다.
• 역할 하나가 문서로 기록되어 있지 않습니다. Microsoft에서 "온프레미스 디렉터리 동기화 계정" 역할을 문서화하지 않아서 탐지되지 않고 악용될 위험이 더 커집니다.

이 위험 노출 지표는 다음 로직을 사용해 이러한 역할에 할당된 의심스러운 보안 주체를 탐지합니다.

• "디렉터리 동기화 계정" 역할의 경우: Microsoft Entra Connect 또는 Microsoft Entra Coud Sync에서 사용하는 일반적인 서비스 계정과 일치하지 않는 담당자를 식별하기 위해 여러 가지 추론에 의지하여 감지를 수행합니다.
• "온프레미스 디렉터리 동기화 계정" 역할의 경우: 이 역할에는 알려진 정상 용도가 없기 때문에 조건과 관계없이 모든 할당이 의심스러운 것으로 플래그됩니다.

우선, 식별된 의심스러운 보안 주체의 정당성을 평가​하는 것부터 시작합니다.

• 테넌트 동기화 상태: Entra 테넌트가 하이브리드가 아니라면(즉 Active Directory와 동기화되지 않음), 이러한 역할 중 어떤 것도 할당되어서는 안 됩니다. 이런 경우, 할당이 보고되었다면 비정상 구성이거나 이전의 하이브리드 상태에서 남은 것일 수 있습니다.
• 보안 주체의 유형: 서비스 주체나 그룹이 이런 역할을 보유할 정상적인 시나리오가 없습니다.
• 이 보안 주체는 언제 생성되었습니까? 해당 날짜가 "Microsoft Entra Connect" 또는 "Microsoft Entra Cloud Sync"를 통해 디렉터리 동기화를 설정한 날과 일치합니까?
• 감사 로그에서: 이 보안 주체가 사용자 업데이트, 만들기, 삭제, 비밀번호 변경과 같은 디렉터리 동기화 작업을 정기적으로 수행합니까?
• 로그인 로그에서: 이 보안 주체가 귀사 조직에 속할 가능성이 큰 IP 주소에서 정기적으로 인증합니까?
• Microsoft Entra Connect를 사용하는 경우, 사용자 주체 이름에 예상되는 온프레미스 Microsoft Entra Connect 서버의 이름이 포함되어 있습니까? (예를 들어 서버 이름이 "AADCONNECT"인 경우, 예상되는 UPN은 "Sync_AADCONNECT_@..."). 예상되는 표시 이름 "온프레미스 디렉터리 동기화 서비스 계정"이 있습니까?
• 중복 또는 비정상 역할 사용: "온프레미스 디렉터리 동기화 계정" 역할이 할당된 경우, 표준 "디렉터리 동기화 계정" 역할 대신(또는 그에 더하여) 이 역할이 사용된 이유가 무엇인지 고려하십시오.

침해가 의심되는 경우:

• 포렌식 조사를 수행​하여 공격이 있었는지 확인하고 공격의 시간과 작성자를 파악하고 잠재적 침입 정도를 평가합니다.
• 감사 로그를 검토​하여 잠재적 악성 행위를 파악합니다.

이러한 역할 및 역할 담당자 모두 Azure 포털 또는 Entra 관리 센터에 표시되지 않습니다. 할당을 식별하려면 대안 방법을 사용해야 합니다. 예를 들어 Microsoft Graph PowerShell cmdlet을 사용하거나, Microsoft Graph API에 직접 쿼리할 수 있습니다.

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'").Id | Format-List *

아니면, 지금은 사용이 중단된 Azure AD PowerShell cmdlet을 사용합니다.

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'" | Get-AzureADDirectoryRoleMember

식별된 보안 주체에 이런 역할 중 하나를 보유할 정당한 사유가 없고, Microsoft Entra Connect 또는 Entra Cloud Sync에서 사용 중이 아니라면 해당 역할 할당은 제거해야 합니다. 이 작업은 PowerShell cmdlets Remove-AzureADDirectoryRoleMember 또는 Remove-MgDirectoryRoleMemberByRef Microsoft Graph PowerShell cmdlet을 사용하여 수행할 수 있습니다. 제공된 수정 스크립트를 참조하십시오.

이름: 의심스러운 AD 동기화 역할 할당

코드명: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

심각도: High

유형: Microsoft Entra ID Indicator of Exposure