Microsoft Security Advisory 4033453

  • Cikk

Az Azure AD Csatlakozás biztonsági rése lehetővé teheti a jogosultságszint-emelt szintű jogosultságot

Közzétéve: 2017. június 27.

Verzió: 1.0

Vezetői összefoglaló

A Microsoft kiadja ezt a biztonsági tanácsadást, amely tájékoztatja az ügyfeleket, hogy az Azure Active Directory (AD) új verziója Csatlakozás érhető el, amely egy fontos biztonsági rést old meg.

A frissítés elhárít egy biztonsági rést, amely jogosultságszint-emelést tehet lehetővé, ha az Azure AD Csatlakozás Jelszóvisszaíró helytelenül van konfigurálva az engedélyezés során. A biztonsági rést sikeresen kihasználó támadó visszaállíthatja a jelszavakat, és jogosulatlan hozzáférést kaphat tetszőleges helyszíni AD-jogosultsággal rendelkező felhasználói fiókokhoz.

A probléma az Azure AD legújabb (1.1.553.0-s) verziójában Csatlakozás, mivel nem teszi lehetővé a helyszíni AD-jogosultsággal rendelkező felhasználói fiókokra való tetszőleges jelszó-visszaállítást.

Tanácsadás részletei

A jelszóvisszaírás az Azure AD Csatlakozás egyik összetevője. Lehetővé teszi, hogy a felhasználók konfigurálják az Azure AD-t, hogy jelszavakat írjanak vissza a helyi Active Directory. Kényelmes felhőalapú módot biztosít a felhasználók számára a helyszíni jelszavak alaphelyzetbe állítására, bárhol is legyenek. A jelszóvisszaíróval kapcsolatos információkért tekintse meg a Jelszóvisszaíró áttekintését.

A jelszóvisszaírás engedélyezéséhez az Azure AD Csatlakozás új jelszó kérésére vonatkozó engedélyt kell biztosítani a helyszíni AD-felhasználói fiókokon keresztül. Az engedély beállításakor előfordulhat, hogy egy helyszíni AD-Rendszergazda istrator véletlenül adott Azure AD-Csatlakozás jelszó kérése engedéllyel a helyszíni AD-jogosultsággal rendelkező fiókokhoz (beleértve a vállalati és tartományi Rendszergazda istrator-fiókokat). Az AD kiemelt felhasználói fiókokkal kapcsolatos információkért tekintse meg az Active Directory védett fiókjait és csoportjait.

Ez a konfiguráció nem ajánlott, mert lehetővé teszi, hogy egy rosszindulatú Azure AD-Rendszergazda istrator visszaállítsa egy tetszőleges helyszíni AD-felhasználói jogosultságú fiók jelszavát egy ismert jelszóértékre jelszóvisszaírással. Ez lehetővé teszi, hogy a rosszindulatú Azure AD Rendszergazda istrator kiemelt hozzáférést kapjon az ügyfél helyszíni AD-éhez.

Lásd: CVE-2017-8613 – Azure AD Csatlakozás Jogosultsági biztonsági rés emelése

Javasolt műveletek

Annak ellenőrzése, hogy a szervezet érintett-e

Ez a probléma csak azokat az ügyfeleket érinti, akik engedélyezték a Jelszóvisszaíró funkciót az Azure AD-Csatlakozás. Annak megállapításához, hogy a szolgáltatás engedélyezve van-e:

  1. Jelentkezzen be az Azure AD Csatlakozás-kiszolgálóra.
  2. Indítsa el az Azure AD Csatlakozás varázslót (START → Azure AD Csatlakozás).
  3. Az üdvözlőképernyőn kattintson a Konfigurálás gombra.
  4. A Feladatok képernyőn válassza az Aktuális konfiguráció megtekintése lehetőséget, és kattintson a Tovább gombra.
  5. A Szinkronizálási Gépház csoportban ellenőrizze, hogy engedélyezve van-e a jelszóvisszaíró.

 

 

Ha a jelszóvisszaírás engedélyezve van, értékelje ki, hogy az Azure AD Csatlakozás-kiszolgáló kapott-e Új jelszó kérése engedélyt a helyszíni AD-jogosultsággal rendelkező fiókokon. Az Azure AD Csatlakozás AD DS-fiókkal szinkronizálja a módosításokat a helyszíni AD-vel. A rendszer ugyanazt az AD DS-fiókot használja a jelszó-visszaállítási művelet végrehajtásához a helyszíni AD-vel. A használt AD DS-fiók azonosítása:

  1. Jelentkezzen be az Azure AD Csatlakozás-kiszolgálóra.
  2. Indítsa el a Szinkronizálási szolgáltatáskezelőt (→ szinkronizálási szolgáltatás indítása).
  3. A Csatlakozás orok lapon válassza ki a helyszíni AD-összekötőt, és kattintson a Tulajdonságok elemre.

 

  1. A Tulajdonságok párbeszédpanelen válassza ki a Csatlakozás az Active Directory Erdő lapjára, és jegyezze fel a Felhasználónév tulajdonságot. Ez az Azure AD Csatlakozás által a címtár-szinkronizálás végrehajtásához használt AD DS-fiók.

 

Ahhoz, hogy az Azure AD Csatlakozás jelszóvisszaírást végezzen a helyszíni AD-jogosultsággal rendelkező fiókokon, az AD DS-fióknak meg kell adni a jelszó alaphelyzetbe állítására vonatkozó engedélyt ezeken a fiókokon. Ez általában akkor fordul elő, ha egy helyszíni AD-rendszergazda a következőkkel rendelkezik:

  • Az AD DS-fiók egy helyszíni AD-jogosultsággal rendelkező csoport (például Vállalati Rendszergazda istratorok vagy Tartományi Rendszergazda istratorok) tagja lett), VAGY
  • Vezérlőhozzáférés-jogosultságok létrehozása a adminSDHolder tárolón, amely új jelszó kérése engedéllyel biztosítja az AD DS-fiókot. Ha tudni szeretné, hogy a rendszergazdaIDHolder-tároló hogyan befolyásolja a helyszíni AD-emelt szintű fiókokhoz való hozzáférést, tekintse meg az Active Directory védett fiókjait és csoportjait.

Meg kell vizsgálnia az AD DS-fiókhoz rendelt érvényes engedélyeket. Előfordulhat, hogy a meglévő ACL-ek és csoporthozzárendelések vizsgálatával nehéz és hibalehetőségek tapasztalhatók. Egyszerűbb módszer, ha kiválaszt egy meglévő, helyszíni AD-jogosultsággal rendelkező fiókot, és a Windows Hatályos engedélyek funkcióval állapítja meg, hogy az AD DS-fiók rendelkezik-e jelszó-visszaállítási engedéllyel ezeken a kijelölt fiókokon. Az Érvényes engedélyek funkció használatáról további információt annak ellenőrzéséhez talál, hogy az Azure AD Csatlakozás rendelkezik-e a jelszóvisszaíráshoz szükséges engedélyekkel.

Feljegyzés

Több AD DS-fiókkal is rendelkezhet annak kiértékeléséhez, hogy több helyszíni AD-erdőt szinkronizál-e az Azure AD Csatlakozás használatával.

Megoldási lépések

Frissítsen az Azure AD Csatlakozás legújabb (1.1.553.0-s) verziójára, amely innen tölthető le. Javasoljuk, hogy akkor is tegye ezt, ha a szervezetére jelenleg nincs hatással. Az Azure AD Csatlakozás frissítéséről további információt az Azure AD Csatlakozás tartalmaz: Megtudhatja, hogyan frissíthet egy korábbi verzióról a legújabbra.

Az Azure AD legújabb verziója Csatlakozás ezt a problémát úgy oldja meg, hogy letiltja a helyszíni AD-jogosultsággal rendelkező fiókok jelszóvisszaíró kérését, kivéve, ha a kérést kérő Azure AD Rendszergazda istrator a helyszíni AD-fiók tulajdonosa. Pontosabban, ha az Azure AD Csatlakozás jelszóvisszaíró kérést kap az Azure AD-től:

  • Az AD adminCount attribútum ellenőrzésével ellenőrzi, hogy a helyszíni AD-fiók kiemelt fiók-e. Ha az érték null vagy 0, az Azure AD Csatlakozás megállapítja, hogy ez nem emelt szintű fiók, és engedélyezi a jelszóvisszaíró kérést.
  • Ha az érték nem null vagy 0, az Azure AD Csatlakozás arra a következtetésre jut, hogy ez egy emelt szintű fiók. Ezután ellenőrzi, hogy a kérelmező felhasználó a helyszíni AD-fiók célfiókjának tulajdonosa-e. Ezt úgy teszi, hogy ellenőrzi a helyszíni célfiók és a kérelmező felhasználó Azure AD-fiókja közötti kapcsolatot a Metaverseben. Ha a kérelmező felhasználó valóban a tulajdonos, az Azure AD Csatlakozás engedélyezi a jelszóvisszaíró kérést. Ellenkező esetben a kérést a rendszer elutasítja.

Feljegyzés

Az adminCount attribútumot az SDProp folyamat kezeli. Alapértelmezés szerint az SDProp 60 percenként fut. Ezért akár egy órát is igénybe vehet, amíg az újonnan létrehozott AD emelt szintű AD-felhasználói fiók AdminCount attribútuma NULL értékről 1-re frissül. Amíg ez nem történik meg, az Azure AD-rendszergazda továbbra is alaphelyzetbe állíthatja az újonnan létrehozott fiók jelszavát. Az SDProp-folyamattal kapcsolatos információkért tekintse meg az Active Directory védett fiókjait és csoportjait.

A probléma megoldásának lépései

Ha nem tud azonnal frissíteni a legújabb "Azure AD Csatlakozás" verzióra, fontolja meg a következő lehetőségeket:

  • Ha az AD DS-fiók egy vagy több helyszíni AD-jogosultsággal rendelkező csoport tagja, fontolja meg az AD DS-fiók eltávolítását a csoportokból.
  • Ha egy helyszíni AD-rendszergazda korábban létrehozta a hozzáférés-vezérlési jogosultságokat az AD DS-fiók rendszergazdaIDHolder objektumán, amely lehetővé teszi a jelszó alaphelyzetbe állítását, fontolja meg annak eltávolítását.
  • Előfordulhat, hogy nem mindig lehet eltávolítani az AD DS-fiókhoz megadott meglévő engedélyeket (például az AD DS-fiók a csoporttagságra támaszkodik más funkciókhoz, például a jelszó-szinkronizáláshoz vagy az Exchange hibrid visszaírásához). Érdemes lehet létrehozni egy DENY ACE-t a adminSDHolder objektumon, amely nem engedélyezi az AD DS-fiókot új jelszó kérése engedéllyel. A DENY ACE Windows DSACLS-eszközzel történő létrehozásáról a Rendszergazda SDHolder tároló módosítása című témakörben olvashat.
    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Lap generálva: 2017.06.27. 09:50-07:00.