Azure AD Connect: ataques de sincronización híbrida de on-premise a la nube
Azure AD Connect es el puente que sincroniza tu Active Directory local con Entra ID, y como todo puente entre dos entornos, es también el camino que un atacante recorre para escalar de uno a otro. Comprometer el servidor de sincronización o su cuenta de servicio puede dar acceso completo a Entra ID desde una máquina on-premise.
Por qué el servidor de Azure AD Connect es un objetivo prioritario
El servidor donde corre Azure AD Connect almacena, en la base de datos local, las credenciales necesarias para sincronizar y —según el método configurado— potencialmente derivar los hashes de contraseña de todos los usuarios sincronizados. Es, en la práctica, un sistema con visibilidad total sobre la identidad de la organización, tanto on-premise como en la nube, y sin embargo rara vez recibe el mismo nivel de protección que un controlador de dominio, a pesar de tener un impacto equivalente si se compromete.
Abuso de la cuenta MSOL y extracción de credenciales
Azure AD Connect crea una cuenta de servicio local (habitualmente con prefijo MSOL_) con permisos elevados sobre el Active Directory on-premise para poder leer y escribir los atributos que se sincronizan. Un atacante con acceso administrativo al servidor de sincronización puede extraer las credenciales de esa cuenta desde la base de datos local (a menudo cifradas con una clave recuperable desde el propio servidor) y usarlas para replicar objetos de Active Directory, incluyendo un ataque DCSync que extrae los hashes de contraseña de cualquier usuario del dominio, sin necesidad de tocar un controlador de dominio directamente.
Pass-through Authentication y AD FS como vectores adicionales
Si la organización usa Pass-through Authentication (PTA), los agentes que validan las credenciales contra el Active Directory local son otro punto de compromiso: un atacante que controla un agente PTA puede interceptar y registrar contraseñas en texto claro a medida que los usuarios inician sesión. Si en su lugar usa AD FS para la federación, un servidor AD FS comprometido permite al atacante falsificar tokens SAML y autenticarse como cualquier usuario federado sin conocer su contraseña —un escenario documentado en incidentes reales de alto perfil.
Cómo proteger y auditar la infraestructura de sincronización híbrida
Las medidas prioritarias son: tratar el servidor de Azure AD Connect (y los servidores AD FS o agentes PTA) con el mismo nivel de aislamiento y monitorización que un controlador de dominio —nunca como un servidor de aplicaciones más—; restringir estrictamente quién tiene acceso administrativo a esos servidores; monitorizar la actividad de la cuenta MSOL y alertar ante replicaciones anómalas (indicador de DCSync); y, si es viable, migrar hacia Cloud Sync o autenticación cloud-native para reducir la superficie de exposición de credenciales on-premise.
FAQ
¿Migrar a Azure AD Cloud Sync elimina este riesgo?
Lo reduce significativamente, pero no lo elimina del todo: Cloud Sync usa agentes ligeros con menos permisos que la instalación clásica de Azure AD Connect, pero sigue existiendo un puente entre on-premise y la nube que requiere el mismo nivel de aislamiento y monitorización.
¿Este riesgo aplica si mi empresa es 100% cloud, sin Active Directory local?
No. Si no tienes un Active Directory on-premise ni sincronización híbrida, este vector concreto no te afecta. Es un riesgo específico de organizaciones en transición o en modelo híbrido permanente, que siguen siendo mayoría en el tejido empresarial español.