Microsoft Security Advisory 4033453
Azure AD 連線 中的弱點可能會允許提高許可權
發佈時間: 2017 年 6 月 27 日
版本: 1.0
執行摘要
Microsoft 正在發行此安全性諮詢,以通知客戶,有新版本的 Azure Active Directory (AD) 連線 可供使用,以解決重要的安全性弱點。
如果 Azure AD 連線 密碼回寫在啟用期間設定錯誤,更新會解決可能會允許提高許可權的弱點。 成功惡意探索此弱點的攻擊者可能會重設密碼,並取得任意內部部署AD特殊許可權用戶帳戶的未經授權存取權。
此問題是在 Azure AD 連線 的最新版本 (1.1.553.0) 中解決,不允許將任意密碼重設為內部部署 AD 特殊許可權用戶帳戶。
諮詢詳細數據
密碼回寫是 Azure AD 連線 的元件。 它可讓用戶設定 Azure AD 將密碼寫回其 內部部署的 Active Directory。 它提供方便的雲端式方式,讓用戶隨時隨地重設其內部部署密碼。 如需密碼回寫的相關信息,請參閱 密碼回寫概觀。
若要啟用密碼回寫,必須將 Azure AD 連線 授與內部部署 AD 使用者帳戶的重設密碼許可權。 設定許可權時,內部部署 AD 管理員 istrator 可能會無意中授與 Azure AD 連線,並透過內部部署 AD 特殊許可權帳戶重設密碼許可權(包括 Enterprise 和 Domain 管理員 istrator 帳戶)。 如需AD特殊許可權用戶帳戶的相關信息,請參閱 Active Directory 中的受保護帳戶和群組。
不建議使用此設定,因為它允許惡意的 Azure AD 管理員 istrator 使用密碼回寫,將任意內部部署 AD 使用者特殊許可權帳戶的密碼重設為已知的密碼值。 這反過來又允許惡意的 Azure AD 管理員 istrator 取得客戶內部部署 AD 的特殊許可權存取權。
請參閱 CVE-2017-8613 - Azure AD 連線 許可權提升弱點
建議的動作
確認您的組織是否受到影響
此問題只會影響已在 Azure AD 上啟用密碼回寫功能的客戶 連線。 若要判斷功能是否已啟用:
- 登入您的 Azure AD 連線 伺服器。
- 啟動 Azure AD 連線 精靈 (START → Azure AD 連線]。
- 在 [歡迎使用] 畫面上,按兩下 [ 設定]。
- 在 [工作] 畫面上,選取 [ 檢視目前的組態 ],然後按 [ 下一步]。
- 在 [同步處理 設定] 底下,檢查是否已啟用密碼回寫。
.png)
如果已啟用密碼回寫,請評估您的 Azure AD 連線 伺服器是否已獲得透過內部部署 AD 特殊許可權帳戶重設密碼許可權。 Azure AD 連線 使用 AD DS 帳戶來同步處理與內部部署 AD 的變更。 相同的 AD DS 帳戶可用來使用內部部署 AD 執行密碼重設作業。 若要識別使用哪一個 AD DS 帳戶:
- 登入您的 Azure AD 連線 伺服器。
- 啟動同步處理服務管理員(開始→同步處理服務)。
- 在 [連線 ors] 索引標籤下,選取內部部署 AD 連接器,然後按兩下 [內容]。
.png)
- 在 [屬性] 對話框中,選取 [連線 至 Active Directory 樹系] 索引標籤,並記下 [使用者名稱] 屬性。 這是 Azure AD 連線 用來執行目錄同步處理的 AD DS 帳戶。
.png)
若要讓 Azure AD 連線 在內部部署 AD 特殊許可權帳戶上執行密碼回寫,AD DS 帳戶必須授與這些帳戶的重設密碼許可權。 如果內部部署 AD 系統管理員有下列其中一項,通常會發生這種情況:
- 將 AD DS 帳戶設為內部部署 AD 特殊許可權群組的成員(例如,企業 管理員 istrators 或 Domain 管理員 istrators 群組),或
- 在 adminSDHolder 容器上建立控制訪問許可權,以重設密碼許可權授與 AD DS 帳戶。 如需 adminSDHolder 容器如何影響內部部署 AD 特殊許可權帳戶存取權的相關信息,請參閱 Active Directory 中的受保護帳戶和群組。
您必須檢查指派給此 AD DS 帳戶的有效許可權。 檢查現有的 ACL 和群組指派,可能會很困難且容易發生錯誤。 較簡單的方法是選取一組現有的內部部署 AD 特殊許可權帳戶,並使用 Windows 有效許可權功能來判斷 AD DS 帳戶是否具有這些選取帳戶的 [重設密碼] 許可權。 如需如何使用有效許可權功能的資訊,請參閱確認 Azure AD 連線 是否具有密碼回寫的必要許可權。
注意
如果您使用 Azure AD 連線 同步處理多個內部部署 AD 樹系,您可能有多個 AD DS 帳戶來評估。
補救步驟
升級至 Azure AD 連線 的最新版本 (1.1.553.0),您可以從這裏下載。 即使您的組織目前未受到影響,也建議您這麼做。 如需如何升級 Azure AD 連線 的詳細資訊,請參閱 Azure AD 連線:瞭解如何從舊版升級至最新版本。
最新版本的 Azure AD 連線 會封鎖內部部署 AD 特殊許可權帳戶的密碼回寫要求,除非要求 Azure AD 管理員 istrator 是內部部署 AD 帳戶的擁有者,才能解決此問題。 更具體來說,當 Azure AD 連線 收到來自 Azure AD 的密碼回寫要求時:
- 它會驗證 AD adminCount 屬性,檢查目標內部部署 AD 帳戶是否為特殊許可權帳戶。 如果值為 null 或 0,Azure AD 連線 得出結論,這不是特殊許可權帳戶,並允許密碼回寫要求。
- 如果值不是 null 或 0,Azure AD 連線 會得出結論,這是具特殊許可權的帳戶。 接下來,它會驗證要求的使用者是否為目標內部部署AD帳戶的擁有者。 其方式是檢查目標內部部署 AD 帳戶與其 Metaverse 中要求使用者的 Azure AD 帳戶之間的關聯性。 如果要求的用戶確實是擁有者,Azure AD 連線 會允許密碼回寫要求。 否則,會拒絕此要求。
注意
adminCount 屬性是由 SDProp 程式所管理。 根據預設,SDProp 會每隔 60 分鐘執行一次。 因此,可能需要一小時的時間,新建立AD特殊許可權用戶帳戶的adminCount屬性才會從NULL更新為1。 在發生這種情況之前,Azure AD 系統管理員仍然可以重設這個新建立帳戶的密碼。 如需 SDProp 程式的相關信息,請參閱 Active Directory 中的受保護帳戶和群組。
風險降低步驟
如果您無法立即升級至最新的「Azure AD 連線」版本,請考慮下列選項:
- 如果 AD DS 帳戶是一或多個內部部署 AD 特殊許可權群組的成員,請考慮從群組中移除 AD DS 帳戶。
- 如果內部部署 AD 系統管理員先前已在允許重設密碼作業的 AD DS 帳戶的 adminSDHolder 物件上建立控制存取許可權,請考慮將其移除。
- 不一定可以移除授與 AD DS 帳戶的現有許可權(例如,AD DS 帳戶依賴群組成員資格取得其他功能所需的許可權,例如密碼同步處理或 Exchange 混合式回寫)。 請考慮在 adminSDHolder 物件上建立 DENY ACE,該物件不允許具有重設密碼許可權的 AD DS 帳戶。 如需如何使用 Windows DSACLS 工具建立 DENY ACE 的資訊,請參閱修改 管理員 SDHolder 容器。
DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"
頁面產生的 2017-06-27 09:50-07:00。