Dela via

Microsoft Security Advisory 4033453

  • Artikel

Sårbarhet i Azure AD Anslut kan tillåta utökade privilegier

Publicerad: 27 juni 2017

Version: 1.0

Sammanfattning

Microsoft släpper den här säkerhetsrekommenderingen för att informera kunderna om att en ny version av Azure Active Directory (AD) Anslut är tillgänglig som åtgärdar en viktig säkerhetsrisk.

Uppdateringen åtgärdar en säkerhetsrisk som kan tillåta utökade privilegier om Azure AD Anslut Tillbakaskrivning av lösenord är felkonfigurerad under aktiveringen. En angripare som har utnyttjat den här säkerhetsrisken kan återställa lösenord och få obehörig åtkomst till godtyckliga lokala AD-privilegierade användarkonton.

Problemet åtgärdas i den senaste versionen (1.1.553.0) av Azure AD Anslut genom att inte tillåta godtycklig lösenordsåterställning till lokala AD-privilegierade användarkonton.

Rådgivande information

Tillbakaskrivning av lösenord är en komponent i Azure AD Anslut. Det gör att användarna kan konfigurera Azure AD för att skriva tillbaka lösenord till sina lokal Active Directory. Det är ett bekvämt molnbaserat sätt för användare att återställa sina lokala lösenord var de än befinner sig. Information om tillbakaskrivning av lösenord finns i Översikt över tillbakaskrivning av lösenord.

För att aktivera tillbakaskrivning av lösenord måste Azure AD Anslut beviljas behörighet att återställa lösenord via de lokala AD-användarkontona. När du konfigurerar behörigheten kan en lokal AD-administratör oavsiktligt ha beviljat Azure AD-Anslut med behörighet att återställa lösenord över lokala AD-privilegierade konton (inklusive företags- och domänadministratörskonton). Information om AD-privilegierade användarkonton finns i Skyddade konton och grupper i Active Directory.

Den här konfigurationen rekommenderas inte eftersom den tillåter en skadlig Azure AD-administratör att återställa lösenordet för ett godtyckligt lokalt AD-konto med privilegierat lösenord till ett känt lösenordsvärde med hjälp av tillbakaskrivning av lösenord. Detta gör i sin tur att den skadliga Azure AD-administratören kan få privilegierad åtkomst till kundens lokala AD.

Se CVE-2017-8613 – Azure AD Anslut utökade privilegier

Föreslagna åtgärder

Kontrollera om din organisation påverkas

Det här problemet påverkar bara kunder som har aktiverat funktionen tillbakaskrivning av lösenord i Azure AD Anslut. Så här avgör du om funktionen är aktiverad:

  1. Logga in på din Azure AD Anslut-server.
  2. Starta Azure AD Anslut-guiden (STARTA → Azure AD Anslut).
  3. Klicka på Konfigureravälkomstskärmen.
  4. På skärmen Uppgifter väljer du Visa aktuell konfiguration och klickar på Nästa.
  5. Under Synkronisering Inställningar kontrollerar du om tillbakaskrivning av lösenord är aktiverat.

 

 

Om tillbakaskrivning av lösenord är aktiverat utvärderar du om din Azure AD-Anslut-server har beviljats behörighet att återställa lösenord över lokala AD-privilegierade konton. Azure AD Anslut använder ett AD DS-konto för att synkronisera ändringar med lokal AD. Samma AD DS-konto används för att utföra lösenordsåterställning med lokal AD. Så här identifierar du vilket AD DS-konto som används:

  1. Logga in på din Azure AD Anslut-server.
  2. Starta Synkroniseringstjänsthanteraren (Starta → synkroniseringstjänsten).
  3. Under fliken Anslut orer väljer du den lokala AD-anslutningsappen och klickar på Egenskaper.

 

  1. I dialogrutan Egenskaper väljer du fliken Anslut till Active Directory-skog och noterar egenskapen Användarnamn. Det här är DET AD DS-konto som används av Azure AD Anslut för att utföra katalogsynkronisering.

 

För att Azure AD-Anslut ska kunna utföra tillbakaskrivning av lösenord på lokala AD-privilegierade konton måste AD DS-kontot beviljas behörighet att återställa lösenord för dessa konton. Detta inträffar vanligtvis om en lokal AD-administratör har antingen:

  • Gjorde AD DS-kontot till medlem i en lokal AD-privilegierad grupp (till exempel företagsadministratörer eller domänadministratörer), ELLER
  • Skapade behörigheter för kontrollåtkomst på containern adminSDHolder som ger AD DS-kontot behörighet att återställa lösenord. Information om hur containern adminSDHolder påverkar åtkomsten till lokala AD-privilegierade konton finns i Skyddade konton och grupper i Active Directory.

Du måste undersöka de gällande behörigheter som tilldelats det här AD DS-kontot. Det kan vara svårt och felbenäget att göra det genom att undersöka befintliga ACL:er och grupptilldelning. En enklare metod är att välja en uppsättning befintliga lokala AD-privilegierade konton och använda funktionen Windows gällande behörigheter för att avgöra om AD DS-kontot har behörighet att återställa lösenord för de valda kontona. Information om hur du använder funktionen Gällande behörigheter finns i Kontrollera om Azure AD Anslut har den behörighet som krävs för tillbakaskrivning av lösenord.

Kommentar

Du kan ha mer än ett AD DS-konto att utvärdera om du synkroniserar flera lokala AD-skogar med Hjälp av Azure AD Anslut.

Reparationssteg

Uppgradera till den senaste versionen (1.1.553.0) av Azure AD Anslut, som kan laddas ned härifrån. Vi rekommenderar att du gör det även om din organisation inte påverkas för närvarande. Information om hur du uppgraderar Azure AD Anslut finns i Azure AD Anslut: Lär dig hur du uppgraderar från en tidigare version till den senaste.

Den senaste versionen av Azure AD Anslut åtgärdar det här problemet genom att blockera begäran om tillbakaskrivning av lösenord för lokala AD-privilegierade konton om inte den begärande Azure AD-administratören är ägare till det lokala AD-kontot. Mer specifikt när Azure AD Anslut tar emot en begäran om tillbakaskrivning av lösenord från Azure AD:

  • Den kontrollerar om det lokala AD-målkontot är ett privilegierat konto genom att verifiera ad adminCount-attributet. Om värdet är null eller 0 drar Azure AD Anslut slutsatsen att detta inte är ett privilegierat konto och tillåter begäran om tillbakaskrivning av lösenord.
  • Om värdet inte är null eller 0 drar Azure AD Anslut slutsatsen att detta är ett privilegierat konto. Därefter kontrollerar den om den begärande användaren är ägare till det lokala AD-målkontot. Det gör det genom att kontrollera relationen mellan det lokala AD-målkontot och Azure AD-kontot för den begärande användaren i dess Metaverse. Om den begärande användaren verkligen är ägare tillåter Azure AD Anslut begäran om tillbakaskrivning av lösenord. I annat fall avvisas begäran.

Kommentar

Attributet adminCount hanteras av SDProp-processen. Som standard körs SDProp var 60:e minut. Det kan därför ta upp till en timme innan attributet adminCount för ett nyligen skapat AD-privilegierat användarkonto uppdateras från NULL till 1. Tills detta händer kan en Azure AD-administratör fortfarande återställa lösenordet för det nyligen skapade kontot. Information om SDProp-processen finns i Skyddade konton och grupper i Active Directory.

Åtgärdssteg

Om du inte omedelbart kan uppgradera till den senaste versionen av "Azure AD Anslut" bör du överväga följande alternativ:

  • Om AD DS-kontot är medlem i en eller flera lokala AD-privilegierade grupper bör du överväga att ta bort AD DS-kontot från grupperna.
  • Om en lokal AD-administratör tidigare har skapat Kontrollåtkomsträttigheter för adminSDHolder-objektet för AD DS-kontot som tillåter återställning av lösenord kan du ta bort det.
  • Det kanske inte alltid är möjligt att ta bort befintliga behörigheter som beviljats AD DS-kontot (till exempel förlitar sig AD DS-kontot på gruppmedlemskapet för behörigheter som krävs för andra funktioner som lösenordssynkronisering eller tillbakaskrivning av Exchange-hybrid). Överväg att skapa ett NEKA ACE på adminSDHolder-objektet som inte tillåter AD DS-kontot med behörigheten Återställ lösenord. Information om hur du skapar ett DENY ACE med hjälp av Windows DSACLS-verktygetfinns i Ändra containern AdminSDHolder.
    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Sidan genererades 2017-06-27 09:50-07:00.