Attaques diverses sur l'identité hybride

Reading time: 3 minutes

Forcer la synchronisation des utilisateurs Entra ID vers l'on-prem

Comme mentionné dans https://www.youtube.com/watch?v=JEIR5oGCwdg, il était possible de changer la valeur de ProxyAddress à l'intérieur d'un utilisateur AD dans l'AD on-prem en ajoutant l'email d'un utilisateur admin Entra ID et en s'assurant également que le UPN de l'utilisateur dans AD et dans Entra ID corresponde (c'est l'Entra ID encore une fois), comme SMTP:admin@domain.onmicrosoft.com. Et cela forcerait la synchronisation de cet utilisateur d'Entra ID vers l'AD on-prem, donc si le mot de passe de l'utilisateur était connu, il pourrait être utilisé pour accéder à l'admin utilisé dans Entra ID.

Pour synchroniser un nouvel utilisateur d'Entra ID vers l'AD on-prem, les exigences sont les suivantes :

• Contrôler les attributs d'un utilisateur dans l'AD on-prem (ou avoir les permissions pour créer de nouveaux utilisateurs)
• Connaître l'utilisateur uniquement cloud pour synchroniser d'Entra ID vers l'AD on-prem
• Vous pourriez également avoir besoin de pouvoir changer l'attribut immutableID de l'utilisateur Entra ID vers l'utilisateur AD on-prem pour faire un hard match.

Références

• https://www.youtube.com/watch?v=JEIR5oGCwdg
• https://activedirectorypro.com/sync-on-prem-ad-with-existing-azure-ad-users/
• https://www.orbid365.be/manually-match-on-premise-ad-user-to-existing-office365-user/