
Op 1 juni 2026 blokkeerde Microsoft een aanvaltechniek waarmee aanvallers met beperkte AD-rechten volledige controle konden krijgen over geprivilegieerde Entra ID-accounts. SyncJacking, zoals de techniek heet, maakte misbruik van de hard-match in Entra Connect Sync. Wat is er precies veranderd, wat is er nog niet gedicht, en welke stappen moet uw IT-team nu zetten?
De meeste organisaties die Active Directory on-premises combineren met Microsoft Entra ID draaien Entra Connect Sync of Cloud Sync om gebruikers tussen beide omgevingen te synchroniseren. Dit is een bewezen aanpak, maar in januari 2026 publiceerden beveiligingsonderzoekers een aanvaltechniek die aantoonde dat het synchronisatiemechanisme zelf als wapen kan worden ingezet. Microsoft bevestigde de kwetsbaarheid en classificeerde haar als 'Important' privilege escalation. Op 1 juni 2026 ging een platform-level blokkade live.
De aanval staat bekend als SyncJacking. Ze exploiteert de hard-match mogelijkheid in Entra Connect om de eigendom van een geprivilegieerd cloud-account naar Active Directory over te dragen. Het resultaat: een aanvaller met relatief beperkte rechten in AD kan volledig inloggen als Global Administrator in Entra ID. Dit artikel legt uit hoe de aanval werkt, wat Microsoft heeft geblokkeerd, wat er nog niet is gedicht en wat uw IT-team concreet moet doen.
Hard matching is een legitieme techniek die organisaties gebruiken bij migraties. Wanneer een cloud-only Entra ID-account gekoppeld moet worden aan een bestaand on-premises AD-account, kan Entra Connect een hard match uitvoeren. Dit werkt door op het AD-gebruikersobject het sourceAnchor-attribuut (ook wel de onPremisesImmutableId) gelijk te stellen aan het overeenkomstige attribuut van het cloud-account. Na de match wordt de Source of Authority voor dat account verschoven: niet meer Entra ID in de cloud, maar Active Directory on-premises bepaalt wat er met dat account gebeurt.
De aanval begint wanneer een kwaadwillende schrijftoegang heeft tot een AD-gebruikersobject. Dat hoeft geen domeinbeheerder te zijn — relatief beperkte AD-rechten volstaan. Door het juiste attribuut op een willekeurig AD-object te manipuleren, triggert de aanvaller een hard match naar een bestaand geprivilegieerd cloud-account, zoals een Global Administrator of een Privileged Role Administrator. Zodra de Source of Authority is verschoven, kan de aanvaller het wachtwoord-hash van het AD-account synchroniseren naar Entra ID. Het gevolg: de aanvaller logt in als die administrator. De aanval laat nauwelijks sporen achter in AD-logs en slechts minimale sporen in Entra ID-logs, wat detectie bemoeilijkt.
Vanaf 1 juni 2026 weigert Microsoft Entra ID elke poging van Entra Connect Sync of Cloud Sync om via een hard match de Source of Authority te verschuiven van een cloud-beheerd account naar Active Directory, als dat cloud-account een Entra ID-rol heeft toegewezen gekregen. De blokkade geldt voor alle Entra-rollen, van Global Administrator tot specifiekere rollen als Teams Administrator of Compliance Administrator.
Wat de blokkade niet doet: hard matches voor cloud-gebruikers zonder Entra-rollen werken nog gewoon. Soft matching — waarbij Entra Connect gebruikers koppelt op basis van e-mailadres of UPN zonder expliciete sourceAnchor-manipulatie — is niet aangetast. En bestaande hard-matched gebruikers die al vóór 1 juni 2026 gesynchroniseerd waren, blijven gewoon synchroniseren. De bescherming geldt uitsluitend voor nieuwe pogingen tot hard-matching op accounts met rollen.
Voor organisaties die legitieme migraties plannen waarbij cloud-accounts met Entra-rollen worden gekoppeld aan on-premises gebruikers, geldt voortaan een aangepaste procedure: verwijder eerst alle Entra-rollen van het cloud-account, voer de synchronisatie en hard match uit, en wijs daarna de rollen opnieuw toe. Ontdek dit niet pas halverwege een cutover-window. Pas uw migratierunbooks nu aan.
De blokkade van Microsoft is een welkome en concrete stap, maar ze lost niet alles op. Drie relevante risico's blijven bestaan. Ten eerste: accounts die al voor 1 juni 2026 via SyncJacking zijn gecompromitteerd, worden door de blokkade niet teruggedraaid. Een aanvaller die de techniek heeft toegepast vóór de cutoff, behoudt de Source of Authority en bijbehorende controle. Controleer actief of er onverwachte Source of Authority-wijzigingen hebben plaatsgevonden in de periode vóór 1 juni.
Ten tweede beschermt de blokkade alleen cloud-beheerde accounts met Entra-rollen. Accounts waarvan de Source of Authority al Active Directory is, vallen buiten de bescherming van deze specifieke maatregel. Als een aanvaller schrijftoegang heeft tot zo'n gesynchroniseerd account in AD en Password Hash Sync is ingeschakeld, kan hij het wachtwoord-hash manipuleren zonder dat de nieuwe blokkade van toepassing is. Dit is een breder AD-beveiligingsvraagstuk dat losstaat van SyncJacking. Ten derde zijn er in oudere versies van Entra Connect afzonderlijke kwetsbaarheden. Het bijhouden van de Entra Connect-versie is een separate, structurele beheertaak die buiten de scope van deze platform-fix valt.
Ten eerste: inventariseer uw geprivilegieerde accounts. Controleer in het Entra-portaal onder Roles and administrators welke gebruikers met privileged rollen gesynchroniseerde accounts zijn versus cloud-only accounts. Een gesynchroniseerde Global Administrator is inherent kwetsbaarder dan een cloud-only admin, omdat Active Directory altijd een aanvalsoppervlak blijft.
Ten tweede: migreer admin-accounts naar cloud-only. De sterkste hardening is ervoor zorgen dat alle geprivilegieerde Entra ID-accounts uitsluitend in de cloud bestaan — niet gesynchroniseerd vanuit AD. Cloud-only admin-accounts zijn volledig buiten bereik van Active Directory-aanvallen, inclusief alle varianten van synchronisatiemisbruik. Dit vereist een bewuste migratiestap, maar is de meest structurele oplossing.
Ten derde: update uw Entra Connect Sync en Cloud Sync. De platform-level blokkade is server-side ingebouwd door Microsoft, maar oudere Entra Connect-versies hebben afzonderlijke kwetsbaarheden. Controleer welke versie u draait en zorg dat u minimaal op de meest recente ondersteunde release zit. Microsoft ondersteunt slechts de twee meest recente versies actief.
Ten vierde: pas uw migratierunbooks aan. Als u geplande migraties heeft waarbij cloud-gebruikers met Entra-rollen worden gesynchroniseerd, is de volgorde nu: rollen verwijderen, synchroniseren, rollen opnieuw toewijzen. Leg dit vast in uw standaardprocedures zodat het operationele team de juiste stappen kent zonder er apart op gewezen te hoeven worden.
Ten vijfde: verplicht phish-resistant MFA voor alle gesynchroniseerde gebruikers. SyncJacking eindigt met het inloggen via een gesynchroniseerd wachtwoord-hash. Phish-resistant MFA — zoals FIDO2-sleutels, passkeys of Windows Hello for Business — maakt dat tweede factor onmogelijk te omzeilen via een wachtwoord-hash alleen. Dit is de meest effectieve aanvullende verdedigingslaag voor hybride omgevingen zolang gesynchroniseerde accounts bestaan.
SyncJacking is een goed gedocumenteerd voorbeeld van een fundamenteel spanningsveld in hybride identiteitsarchitecturen. Zolang Active Directory en Entra ID met elkaar gesynchroniseerd zijn, is de zwakste van de twee de beperkende factor voor de algehele beveiliging. Een goed beveiligde Entra-omgeving met Conditional Access, MFA en Privileged Identity Management verliest zijn waarde als een aanvaller via AD-schrijftoegang de Source of Authority van accounts kan overnemen.
De richting die Microsoft aangeeft is duidelijk: geprivilegieerde cloud-identiteiten horen buiten het bereik van AD te opereren. De platform-block van juni 2026 is een concrete stap in die richting. Wilt u hulp bij het beoordelen van uw hybride identiteitsopzet, het migreren van admin-accounts naar cloud-only of het versterken van uw Entra Connect-configuratie? Neem contact op met Zarioh voor een vrijblijvend gesprek.
Was dit artikel nuttig?
Zarioh Digital Solutions
IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.

Security

Security

Security