Microsoft Security Advisory 4033453

  • Articolo

La vulnerabilità in Azure AD Connessione potrebbe consentire l'elevazione dei privilegi

Pubblicato: 27 giugno 2017

Versione: 1.0

Schema riepilogativo

Microsoft sta rilasciando questo avviso di sicurezza per informare i clienti che è disponibile una nuova versione di Azure Active Directory (AD) Connessione che risolve una vulnerabilità importante della sicurezza.

L'aggiornamento risolve una vulnerabilità che potrebbe consentire l'elevazione dei privilegi se azure AD Connessione writeback delle password non è configurato correttamente durante l'abilitazione. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe reimpostare le password e ottenere l'accesso non autorizzato agli account utente con privilegi di AD locali arbitrari.

Il problema viene risolto nella versione più recente (1.1.553.0) di Azure AD Connessione non consentendo la reimpostazione arbitraria della password agli account utente con privilegi di AD locale.

Dettagli avviso

Il writeback delle password è un componente del Connessione di Azure AD. Consente agli utenti di configurare Azure AD per scrivere nuovamente le password nel proprio Active Directory locale. Offre un modo pratico basato sul cloud per consentire agli utenti di reimpostare le password locali ovunque si trovino. Per informazioni sul writeback delle password, vedere Panoramica del writeback delle password.

Per abilitare il writeback delle password, ai Connessione di Azure AD deve essere concessa l'autorizzazione Reimposta password per gli account utente di ACTIVE Directory locali. Quando si configura l'autorizzazione, a un Amministrazione istrator di ACTIVE Directory locale può essere stato concesso inavvertitamente azure AD Connessione con l'autorizzazione Reimposta password per gli account con privilegi di Active Directory locale (inclusi gli account enterprise e di dominio Amministrazione istrator). Per informazioni sugli account utente con privilegi di Active Directory, vedere Account protetti e gruppi in Active Directory.

Questa configurazione non è consigliata perché consente a un Amministrazione istrator di Azure AD dannoso di reimpostare la password di un account con privilegi utente di ACTIVE locale arbitrario su un valore di password noto usando il writeback delle password. Ciò a sua volta consente all'Amministrazione istrator di Azure AD dannoso di ottenere l'accesso con privilegi ad AD locale del cliente.

Vedere CVE-2017-8613 - Vulnerabilità di elevazione dei privilegi di Azure AD Connessione

Azioni suggerite

Verificare se l'organizzazione è interessata

Questo problema interessa solo i clienti che hanno abilitato la funzionalità di writeback delle password in Azure AD Connessione. Per determinare se la funzionalità è abilitata:

  1. Accedere al server di Connessione di Azure AD.
  2. Avviare la procedura guidata di Connessione di Azure AD (START → Connessione Azure AD).
  3. Nella schermata iniziale fare clic su Configura.
  4. Nella schermata Attività selezionare Visualizza configurazione corrente e fare clic su Avanti.
  5. In Sincronizzazione Impostazioni verificare se il writeback delle password è abilitato.

 

 

Se il writeback delle password è abilitato, valutare se al server di azure AD Connessione è stata concessa l'autorizzazione Reimposta password per gli account con privilegi DI AD locali. Azure AD Connessione usa un account di Active Directory Domain Services per sincronizzare le modifiche con ACTIVE Directory locale. Lo stesso account di Active Directory Domain Services viene usato per eseguire operazioni di reimpostazione della password con Active Directory locale. Per identificare l'account di Active Directory Domain Services usato:

  1. Accedere al server di Connessione di Azure AD.
  2. Avviare Synchronization Service Manager (Avviare → servizio di sincronizzazione).
  3. Nella scheda Connettori selezionare AD connector (Connettore di Active Directory) e fare clic su Proprietà.

 

  1. Nella finestra di dialogo Proprietà selezionare la scheda Connessione in Foresta Active Directory e annotare la proprietà Nome utente. Si tratta dell'account di Active Directory Domain Services usato da Azure AD Connect per eseguire la sincronizzazione delle directory.

 

Per consentire ad Azure AD Connessione di eseguire il writeback delle password negli account con privilegi di Active Directory locale, all'account di Active Directory Domain Services deve essere concessa l'autorizzazione Reimposta password per questi account. Ciò si verifica in genere se un amministratore di ACTIVE Directory locale dispone di:

  • Impostare l'account di Active Directory Domain Services come membro di un gruppo con privilegi di Active Directory locale (ad esempio, Enterprise Amministrazione istrators o gruppo Domain Amministrazione istrators), OR
  • Creazione dei diritti di accesso di controllo nel contenitore adminSDHolder che concede all'account di Active Directory Domain Services l'autorizzazione Reimposta password. Per informazioni su come il contenitore adminSDHolder influisce sull'accesso agli account con privilegi di ACTIVE Directory locale, vedere Account protetti e gruppi in Active Directory.

È necessario esaminare le autorizzazioni valide assegnate a questo account di Active Directory Domain Services. Può essere difficile e soggetta a errori esaminando gli elenchi di controllo di accesso e l'assegnazione di gruppi esistenti. Un approccio più semplice consiste nel selezionare un set di account con privilegi di Active Directory locali esistenti e usare la funzionalità Autorizzazioni valide di Windows per determinare se l'account di Active Directory Domain Services dispone dell'autorizzazione Reimposta password per questi account selezionati. Per informazioni su come usare la funzionalità Autorizzazioni valide, vedere Verificare se Azure AD Connessione dispone dell'autorizzazione necessaria per il writeback delle password.

Nota

È possibile che si disponga di più account di Active Directory Domain Services per valutare se si sincronizzano più foreste di Active Directory locali usando Azure AD Connessione.

Procedura di correzione

Eseguire l'aggiornamento alla versione più recente (1.1.553.0) di Azure AD Connessione, che può essere scaricata da qui. È consigliabile farlo anche se l'organizzazione non è attualmente interessata. Per informazioni su come aggiornare Connessione di Azure AD, vedere Azure AD Connessione: Informazioni su come eseguire l'aggiornamento da una versione precedente alla versione più recente.

La versione più recente di Azure AD Connessione risolve questo problema bloccando la richiesta di writeback delle password per gli account con privilegi di AD locale, a meno che l'istanza di Azure AD Amministrazione istrator non sia il proprietario dell'account AD locale. In particolare, quando Azure AD Connessione riceve una richiesta di writeback delle password da Azure AD:

  • Verifica se l'account AD locale di destinazione è un account con privilegi convalidando l'attributo ADMINCount di AD. Se il valore è null o 0, Azure AD Connessione conclude che non si tratta di un account con privilegi e consente la richiesta di writeback delle password.
  • Se il valore non è null o 0, Azure AD Connessione conclude che si tratta di un account con privilegi. Convalida quindi se l'utente richiedente è il proprietario dell'account AD locale di destinazione. Ciò avviene controllando la relazione tra l'account AD locale di destinazione e l'account Azure AD dell'utente richiedente nel metaverse. Se l'utente richiedente è effettivamente il proprietario, Azure AD Connessione consente la richiesta di writeback delle password. In caso contrario, la richiesta viene rifiutata.

Nota

L'attributo adminCount viene gestito dal processo SDProp. Per impostazione predefinita, SDProp viene eseguito ogni 60 minuti. Pertanto, può essere necessario fino a un'ora prima che l'attributo adminCount di un account utente con privilegi DI AD appena creato venga aggiornato da NULL a 1. Fino a quando non si verifica questo problema, un amministratore di Azure AD può comunque reimpostare la password di questo account appena creato. Per informazioni sul processo SDProp, vedere Account protetti e gruppi in Active Directory.

Passaggi di mitigazione

Se non è possibile eseguire immediatamente l'aggiornamento alla versione più recente di "Azure AD Connessione", prendere in considerazione le opzioni seguenti:

  • Se l'account di Active Directory Domain Services è membro di uno o più gruppi con privilegi di Active Directory locale, è consigliabile rimuovere l'account di Active Directory Domain Services dai gruppi.
  • Se un amministratore di ACTIVE Directory locale ha creato in precedenza i diritti di accesso di controllo nell'oggetto adminSDHolder per l'account di Active Directory Domain Services che consente l'operazione di reimpostazione della password, è consigliabile rimuoverlo.
  • Potrebbe non essere sempre possibile rimuovere le autorizzazioni esistenti concesse all'account di Active Directory Domain Services( ad esempio, l'account di Active Directory Domain Services si basa sull'appartenenza al gruppo per le autorizzazioni necessarie per altre funzionalità, ad esempio la sincronizzazione delle password o il writeback ibrido di Exchange). Prendere in considerazione la creazione di un ace DENY nell'oggetto adminSDHolder che non consente l'account di Active Directory Domain Services con l'autorizzazione Reimposta password. Per informazioni su come creare un oggetto DENY ACE usando lo strumento DSACLS di Windows, vedere Modificare il contenitore Amministrazione SDHolder.
    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Pagina generata 2017-06-27 09:50-07:00.