Aracılığıyla paylaş

Microsoft Güvenlik Danışmanlığı 4033453

  • Makale

Azure AD Bağlan'daki Güvenlik Açığı AyrıcalıkLarın Yükseltilmesine İzin Verebilir

Yayımlanma Tarihi: 27 Haziran 2017

Sürüm: 1.0

Yönetici Özeti

Microsoft, önemli bir güvenlik açığını gideren yeni bir Azure Active Directory (AD) Bağlan sürümünün kullanılabilir olduğunu müşterilere bildirmek için bu güvenlik önerisini yayınlıyor.

Güncelleştirme, Azure AD Bağlan Parola geri yazmanın etkinleştirme sırasında yanlış yapılandırılması durumunda ayrıcalıkların yükseltilmesine izin verebilecek bir güvenlik açığını giderir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan parolaları sıfırlayabilir ve rastgele şirket içi AD ayrıcalıklı kullanıcı hesaplarına yetkisiz erişim elde edebilir.

Bu sorun, şirket içi AD ayrıcalıklı kullanıcı hesaplarına rastgele parola sıfırlamaya izin verilmeyerek Azure AD Bağlan'nin en son sürümünde (1.1.553.0) giderilmektedir.

Danışmanlık Ayrıntıları

Parola geri yazma, Azure AD Bağlan'nin bir bileşenidir. Kullanıcıların parolaları şirket içi Active Directory geri yazacak şekilde Azure AD'yi yapılandırmasına olanak tanır. Kullanıcıların nerede olurlarsa olsunlar şirket içi parolalarını sıfırlamaları için bulut tabanlı kullanışlı bir yol sağlar. Parola geri yazma hakkında bilgi için bkz. Parola geri yazmaya genel bakış.

Parola geri yazmayı etkinleştirmek için Azure AD Bağlan şirket içi AD kullanıcı hesapları üzerinde Parolayı Sıfırla izni verilmelidir. İzin ayarlanırken, şirket içi AD Yönetici istrator şirket içi AD ayrıcalıklı hesapları (Enterprise ve Domain Yönetici istrator hesapları dahil) üzerinde Parola sıfırlama iznine sahip Azure AD Bağlan yanlışlıkla verilmiş olabilir. AD ayrıcalıklı kullanıcı hesapları hakkında bilgi için bkz . Active Directory'de Korumalı Hesaplar ve Gruplar.

Kötü amaçlı bir Azure AD Yönetici istrator'ın parola geri yazma kullanarak rastgele bir şirket içi AD kullanıcı ayrıcalıklı hesabının parolasını bilinen bir parola değerine sıfırlamasına izin verdiğinden bu yapılandırma önerilmez. Bu da kötü amaçlı Azure AD Yönetici istrator'ın müşterinin şirket içi AD'sine ayrıcalıklı erişim elde etmesini sağlar.

Bkz. CVE-2017-8613 - Azure AD Bağlan Ayrıcalıkların Yükseltilmesi Güvenlik Açığı

Önerilen Eylemler

Kuruluşunuzun etkilenip etkilenmediğini doğrulama

Bu sorun yalnızca Azure AD Bağlan Parola geri yazma özelliğini etkinleştirmiş olan müşterileri etkiler. Özelliğin etkinleştirilip etkinleştirilmediğini belirlemek için:

  1. Azure AD Bağlan sunucunuzda oturum açın.
  2. Azure AD Bağlan sihirbazını başlatma (Azure AD Bağlan'→ BAŞLAT).
  3. Hoş Geldiniz ekranında Yapılandır'a tıklayın.
  4. Görevler ekranında Geçerli yapılandırmayı görüntüle'yi seçin ve İleri'ye tıklayın.
  5. Eşitleme Ayarlar altında Parola Geri Yazma'nın etkinleştirilip etkinleştirilmediğini denetleyin.

 

 

Parola geri yazma etkinleştirildiyse Azure AD Bağlan sunucunuza şirket içi AD ayrıcalıklı hesapları üzerinde Parolayı Sıfırla izni verilip verilmediğini değerlendirin. Azure AD Bağlan, değişiklikleri şirket içi AD ile eşitlemek için bir AD DS hesabı kullanır. Şirket içi AD ile parola sıfırlama işlemi gerçekleştirmek için aynı AD DS hesabı kullanılır. Hangi AD DS hesabının kullanıldığını belirlemek için:

  1. Azure AD Bağlan sunucunuzda oturum açın.
  2. Eşitleme Hizmeti Yöneticisi'ni başlatın (Eşitleme Hizmeti→ başlatın).
  3. Bağlan orlar sekmesinde şirket içi AD bağlayıcısını seçin ve Özellikler'e tıklayın.

 

  1. Özellikler iletişim kutusunda, Active Directory Ormanı'na Bağlan sekmesini seçin ve Kullanıcı adı özelliğini not edin. Bu, Azure AD Bağlan tarafından dizin eşitlemesi gerçekleştirmek için kullanılan AD DS hesabıdır.

 

Azure AD Bağlan şirket içi AD ayrıcalıklı hesaplarında Parola geri yazma işlemi gerçekleştirebilmesi için AD DS hesabına bu hesaplar üzerinde Parolayı Sıfırla izni verilmelidir. Bu durum genellikle şirket içi AD yöneticisinin aşağıdakilerden herhangi biri varsa gerçekleşir:

  • AD DS hesabını şirket içi AD ayrıcalıklı grubunun üyesi yaptı (Örneğin, Kurumsal Yönetici istrators veya Etki Alanı Yönetici istrators grubu), OR
  • AD DS hesabına Parola sıfırlama izni veren adminSDHolder kapsayıcısı üzerinde Denetim Erişim Hakları oluşturuldu. adminSDHolder kapsayıcısının şirket içi AD ayrıcalıklı hesaplarına erişimi nasıl etkilediği hakkında bilgi için bkz. Active Directory'de Korumalı Hesaplar ve Gruplar.

Bu AD DS hesabına atanan etkin izinleri incelemeniz gerekir. Mevcut ACL'leri ve grup atamasını inceleyerek bunu yapmak zor ve hataya eğilimli olabilir. Daha kolay bir yaklaşım, mevcut şirket içi AD ayrıcalıklı hesapları kümesini seçmek ve AD DS hesabının seçili hesaplar üzerinde Parolayı Sıfırla izni olup olmadığını belirlemek için Windows Etkin İzinler özelliğini kullanmaktır. Etkili İzinler özelliğini kullanma hakkında bilgi için Bkz. Azure AD Bağlan Parola geri yazma için gerekli izne sahip olup olmadığını doğrulama.

Not

Azure AD Bağlan kullanarak birden çok şirket içi AD ormanlarını eşitlerken değerlendirmeniz gereken birden fazla AD DS hesabınız olabilir.

Düzeltme adımları

Buradan indirilebilen Azure AD Bağlan'nin en son sürümüne (1.1.553.0) yükseltin. Kuruluşunuz şu anda etkilenmese bile bunu yapmanızı öneririz. Azure AD Bağlan yükseltme hakkında bilgi için bkz. Azure AD Bağlan: Önceki bir sürümden en son sürüme yükseltmeyi öğrenin.

Azure AD Bağlan'nin en son sürümü, isteyen Azure AD Yönetici istrator şirket içi AD hesabının sahibi olmadığı sürece şirket içi AD ayrıcalıklı hesapları için Parola geri yazma isteğini engelleyerek bu sorunu giderir. Daha açık belirtmek gerekirse, Azure AD Bağlan Azure AD'den parola geri yazma isteği aldığında:

  • AD adminCount özniteliğini doğrulayarak hedef şirket içi AD hesabının ayrıcalıklı bir hesap olup olmadığını denetler. Değer null veya 0 ise, Azure AD Bağlan bunun ayrıcalıklı bir hesap olmadığı sonucunu verir ve Parola geri yazma isteğine izin verir.
  • Değer null veya 0 değilse, Azure AD Bağlan bunun ayrıcalıklı bir hesap olduğu sonucuna varıyor. Ardından istekte bulunan kullanıcının hedef şirket içi AD hesabının sahibi olup olmadığını doğrular. Bunu, hedef şirket içi AD hesabıyla istekte bulunan kullanıcının Azure AD hesabı arasındaki ilişkiyi Metaverse'de denetleyerek yapar. İstekte bulunan kullanıcı gerçekten sahipse, Azure AD Bağlan Parola geri yazma isteğine izin verir. Aksi takdirde istek reddedilir.

Not

adminCount özniteliği SDProp işlemi tarafından yönetilir. Varsayılan olarak, SDProp her 60 dakikada bir çalışır. Bu nedenle, yeni oluşturulan AD ayrıcalıklı kullanıcı hesabının adminCount özniteliğinin NULL olan 1'e güncelleştirilebilmesi bir saat kadar sürebilir. Bu gerçekleşene kadar Azure AD yöneticisi bu yeni oluşturulan hesabın parolasını sıfırlamaya devam edebilir. SDProp işlemi hakkında bilgi için bkz. Active Directory'de Korumalı Hesaplar ve Gruplar.

Etki azaltma adımları

En son "Azure AD Bağlan" sürümüne hemen yükseltemiyorsanız aşağıdaki seçenekleri göz önünde bulundurun:

  • AD DS hesabı bir veya daha fazla şirket içi AD ayrıcalıklı grubunun üyesiyse, AD DS hesabını gruplardan kaldırmayı göz önünde bulundurun.
  • Şirket içi AD yöneticisi daha önce AD DS hesabı için AdministratorSDHolder nesnesinde Parola Sıfırlama işlemine izin veren Denetim Erişim Hakları oluşturduysa, kaldırmayı göz önünde bulundurun.
  • AD DS hesabına verilen mevcut izinleri kaldırmak her zaman mümkün olmayabilir (örneğin, AD DS hesabı Parola eşitleme veya Exchange karma geri yazma gibi diğer özellikler için gereken izinler için grup üyeliğine dayanır). AdminSDHolder nesnesinde AD DS hesabına Parola Sıfırlama izni vermeyen bir DENY ACE oluşturmayı göz önünde bulundurun. Windows DSACLS aracını kullanarak DENY ACE oluşturma hakkında bilgi için bkz. Yönetici SDHolder kapsayıcısını değiştirme.
    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Sayfa oluşturuldu 2017-06-27 09:50-07:00.