Microsoft Security Advisory 4033453

  • Artikel

Sicherheitsanfälligkeit in Azure AD Verbinden könnte rechteerweiterungen zulassen

Veröffentlicht: 27. Juni 2017

Version: 1.0

Kurzfassung

Microsoft veröffentlicht diese Sicherheitsempfehlung, um Kunden darüber zu informieren, dass eine neue Version von Azure Active Directory (AD) Verbinden verfügbar ist, die eine wichtige Sicherheitslücke behandelt.

Das Update behebt eine Sicherheitsanfälligkeit, die die Rechteerweiterung zulassen kann, wenn azure AD Verbinden Kennwortrückschreiben während der Aktivierung falsch konfiguriert ist. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte Kennwörter zurücksetzen und nicht autorisierten Zugriff auf beliebige lokale AD-privilegierte Benutzerkonten erhalten.

Das Problem wird in der neuesten Version (1.1.553.0) von Azure AD Verbinden behoben, indem keine willkürliche Kennwortzurücksetzung auf lokale AD-privilegierte Benutzerkonten zulässig ist.

Beratungsdetails

Das Kennwortrückschreiben ist eine Komponente von Azure AD Verbinden. Sie ermöglicht Es Benutzern, Azure AD so zu konfigurieren, dass Kennwörter in ihre lokales Active Directory zurückgeschrieben werden. Sie bietet benutzern eine bequeme cloudbasierte Möglichkeit, ihre lokalen Kennwörter überall dort zurückzusetzen, wo sie sich befinden. Informationen zum Kennwortrückschreiben finden Sie in der Übersicht über das Kennwortrückschreiben.

Um das Kennwortrückschreiben zu aktivieren, muss Azure AD Verbinden die Berechtigung "Kennwort zurücksetzen" über die lokalen AD-Benutzerkonten erteilt werden. Beim Einrichten der Berechtigung hat ein lokaler AD-Administrator möglicherweise versehentlich Azure AD Verbinden mit der Berechtigung "Kennwort zurücksetzen" über lokale AD-privilegierte Konten (einschließlich Unternehmens- und Do Standard Administratorkonten) erteilt. Informationen zu privilegierten AD-Benutzerkonten finden Sie unter "Geschützte Konten" und "Gruppen" in Active Directory.

Diese Konfiguration wird nicht empfohlen, da ein böswilliger Azure AD-Administrator das Kennwort eines beliebigen lokalen AD-Benutzerkontos mithilfe des Kennwortrückschreibens auf einen bekannten Kennwortwert zurücksetzen kann. Dies wiederum ermöglicht es dem böswilligen Azure AD-Administrator, privilegierten Zugriff auf das lokale AD des Kunden zu erhalten.

Siehe CVE-2017-8613 – Sicherheitsanfälligkeit in Azure AD Verbinden Erhöhung von Berechtigungen

Vorgeschlagene Aktionen

Überprüfen, ob Ihre Organisation betroffen ist

Dieses Problem betrifft nur Kunden, die das Feature "Kennwortrückschreiben" in Azure AD Verbinden aktiviert haben. So ermitteln Sie, ob das Feature aktiviert ist:

  1. Melden Sie sich bei Ihrem Azure AD-Verbinden-Server an.
  2. Starten Sie den Azure AD Verbinden-Assistenten (START → Azure AD Verbinden).
  3. Klicken Sie auf der Willkommensseite auf Konfigurieren.
  4. Wählen Sie auf dem Bildschirm "Aufgaben" die Option "Aktuelle Konfiguration anzeigen" aus, und klicken Sie auf "Weiter".
  5. Überprüfen Sie unter "Synchronisierung Einstellungen", ob das Kennwortrückschreiben aktiviert ist.

 

 

Wenn das Kennwortrückschreiben aktiviert ist, bewerten Sie, ob Ihrem Azure AD-Verbinden Server die Berechtigung "Kennwort zurücksetzen" über lokale AD-privilegierte Konten erteilt wurde. Azure AD Verbinden verwendet ein AD DS-Konto, um Änderungen mit lokalem AD zu synchronisieren. Dasselbe AD DS-Konto wird verwendet, um den Vorgang zum Zurücksetzen von Kennwörtern mit lokalem AD auszuführen. So ermitteln Sie, welches AD DS-Konto verwendet wird:

  1. Melden Sie sich bei Ihrem Azure AD-Verbinden-Server an.
  2. Starten Sie den Synchronisierungsdienst-Manager (Starten → Synchronisierungsdienst).
  3. Wählen Sie auf der Registerkarte Connectors den lokalen AD-Connector aus, und klicken Sie auf Eigenschaften.

 

  1. Wählen Sie im Dialogfeld Eigenschaften das Verbinden auf die Registerkarte "Active Directory-Gesamtstruktur" aus, und notieren Sie sich die Eigenschaft "Benutzername". Das ist das AD DS-Konto, das von Azure AD Connect für die Verzeichnissynchronisierung verwendet wird.

 

Damit Azure AD Verbinden Kennwortrückschreiben für lokale AD-privilegierte Konten ausführen kann, muss dem AD DS-Konto die Berechtigung "Kennwort zurücksetzen" für diese Konten erteilt werden. Dies geschieht in der Regel, wenn ein lokaler AD-Administrator über eine der folgenden Aktionen verfügt:

  • Hat das AD DS-Konto als Mitglied einer lokalen AD-privilegierten Gruppe (z. B. Unternehmensadministratoren oder Do Standard Administratorgruppe) oder
  • Erstellt Steuerelementzugriffsrechte für den AdminSDHolder-Container, der das AD DS-Konto mit der Berechtigung "Kennwort zurücksetzen" gewährt. Informationen dazu, wie sich der AdminSDHolder-Container auf den Zugriff auf lokale AD-privilegierte Konten auswirkt, finden Sie unter "Geschützte Konten und Gruppen" in Active Directory.

Sie müssen die effektiven Berechtigungen untersuchen, die diesem AD DS-Konto zugewiesen sind. Dies kann schwierig und fehleranfällig sein, indem vorhandene ACLs und Gruppenzuweisungen untersucht werden. Ein einfacherer Ansatz besteht darin, einen Satz vorhandener lokaler AD-privilegierter Konten auszuwählen und das Feature "Windows Effective Permissions" zu verwenden, um festzustellen, ob das AD DS-Konto über die Berechtigung zum Zurücksetzen des Kennworts für diese ausgewählten Konten verfügt. Informationen zur Verwendung des Features "Effektive Berechtigungen" finden Sie unter "Überprüfen", ob Azure AD Verbinden über die erforderliche Berechtigung für das Kennwortrückschreiben verfügt.

Hinweis

Möglicherweise müssen Sie mehrere AD DS-Konten auswerten, wenn Sie mehrere lokale AD-Gesamtstrukturen mit Azure AD-Verbinden synchronisieren.

Schritte zur Bereinigung

Upgrade auf die neueste Version (1.1.553.0) von Azure AD Verbinden, die hier heruntergeladen werden kann. Es wird empfohlen, dies auch dann zu tun, wenn Ihre Organisation derzeit nicht betroffen ist. Informationen zum Upgrade von Azure AD Verbinden finden Sie unter Azure AD Verbinden: Erfahren Sie, wie Sie ein Upgrade von einer früheren Version auf die neueste Version durchführen.

Die neueste Version von Azure AD Verbinden behebt dieses Problem, indem die Kennwortrückschreibanforderung für lokale AD-privilegierte Konten blockiert wird, es sei denn, der anfordernde Azure AD-Administrator ist der Besitzer des lokalen AD-Kontos. Genauer gesagt, wenn Azure AD Verbinden eine Kennwortrückschreibanforderung von Azure AD empfängt:

  • Es überprüft, ob das lokale AD-Zielkonto ein privilegiertes Konto ist, indem das AD adminCount-Attribut überprüft wird. Wenn der Wert null oder 0 ist, schließt Azure AD Verbinden dies kein privilegiertes Konto ist und die Kennwortrückschreibanforderung zulässt.
  • Wenn der Wert nicht NULL oder 0 ist, schließt Azure AD Verbinden ab, dass es sich um ein privilegiertes Konto handelt. Anschließend wird überprüft, ob der anfordernde Benutzer der Besitzer des lokalen AD-Zielkontos ist. Dadurch wird die Beziehung zwischen dem lokalen AD-Zielkonto und dem Azure AD-Konto des anfordernden Benutzers in seiner Metaverse überprüft. Wenn der anfordernde Benutzer tatsächlich der Besitzer ist, lässt Azure AD Verbinden die Kennwortrückschreibanforderung zu. Andernfalls wird die Anforderung abgelehnt.

Hinweis

Das adminCount-Attribut wird vom SDProp-Prozess verwaltet. SdProp wird standardmäßig alle 60 Minuten ausgeführt. Daher kann es bis zu einer Stunde dauern, bis das AdminCount-Attribut eines neu erstellten AD-privilegierten Benutzerkontos von NULL auf 1 aktualisiert wird. Bis zu diesem Zeitpunkt kann ein Azure AD-Administrator das Kennwort dieses neu erstellten Kontos weiterhin zurücksetzen. Informationen zum SDProp-Prozess finden Sie unter "Geschützte Konten und Gruppen" in Active Directory.

Schritte zur Problembehebung

Wenn Sie nicht sofort ein Upgrade auf die neueste Version von "Azure AD Verbinden" durchführen können, sollten Sie die folgenden Optionen in Betracht ziehen:

  • Wenn das AD DS-Konto Mitglied einer oder mehrerer lokaler AD-privilegierter Gruppen ist, sollten Sie erwägen, das AD DS-Konto aus den Gruppen zu entfernen.
  • Wenn ein lokaler AD-Administrator zuvor Steuerelementzugriffsrechte für das adminSDHolder-Objekt für das AD DS-Konto erstellt hat, das das Zurücksetzen des Kennwortvorgangs zulässt, erwägen Sie, es zu entfernen.
  • Es ist möglicherweise nicht immer möglich, vorhandene Berechtigungen zu entfernen, die dem AD DS-Konto gewährt werden (z. B. basiert das AD DS-Konto auf der Gruppenmitgliedschaft für Berechtigungen, die für andere Features wie die Kennwortsynchronisierung oder das Exchange-Hybridrückschreiben erforderlich sind). Erwägen Sie das Erstellen einer DENY ACE für das adminSDHolder-Objekt, das das AD DS-Konto mit der Berechtigung "Kennwort zurücksetzen" verbietet. Informationen zum Erstellen einer DENY ACE mit dem Windows DSACLS-Tool finden Sie unter "Ändern des AdminSDHolder"-Containers.
    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Seite generiert 2017-06-27 09:50-07:00.