Attacchi Vari sulla Identità Ibrida

Reading time: 3 minutes

Forzare la Sincronizzazione degli utenti di Entra ID con on-prem

Come menzionato in https://www.youtube.com/watch?v=JEIR5oGCwdg, era possibile cambiare il valore di ProxyAddress all'interno di un utente AD nell'AD on-prem aggiungendo l'email di un utente admin di Entra ID e assicurandosi anche che il UPN dell'utente in AD e in Entra ID corrispondesse (questo è di nuovo l'Entra ID), come SMTP:admin@domain.onmicrosoft.com. E questo forzerebbe la sincronizzazione di questo utente da Entra ID all'AD on-prem, quindi se la password dell'utente era nota, poteva essere utilizzata per accedere all'admin usato in Entra ID.

Per sincronizzare un nuovo utente da Entra ID all'AD on-prem, questi sono i requisiti, gli unici requisiti sono:

• Controllare gli attributi di un utente nell'AD on-prem (o avere permessi per creare nuovi utenti)
• Conoscere l'utente solo cloud per sincronizzare da Entra ID all'AD on-prem
• Potresti anche aver bisogno di essere in grado di cambiare l'attributo immutableID dall'utente di Entra ID all'utente di AD on-prem per fare un hard match.

Riferimenti

• https://www.youtube.com/watch?v=JEIR5oGCwdg
• https://activedirectorypro.com/sync-on-prem-ad-with-existing-azure-ad-users/
• https://www.orbid365.be/manually-match-on-premise-ad-user-to-existing-office365-user/