Conseils de sécurité Microsoft 4033453
La vulnérabilité dans Azure AD Connecter peut autoriser l’élévation de privilèges
Publication : 27 juin 2017
Version : 1.0
Résumé
Microsoft publie cet avis de sécurité pour informer les clients qu’une nouvelle version d’Azure Active Directory (AD) Connecter est disponible pour résoudre une vulnérabilité de sécurité importante.
La mise à jour résout une vulnérabilité qui pourrait autoriser l’élévation de privilèges si Azure AD Connecter l’écriture différée du mot de passe est mal configurée pendant l’activation. Un attaquant qui a réussi à exploiter cette vulnérabilité peut réinitialiser les mots de passe et obtenir un accès non autorisé aux comptes d’utilisateurs privilégiés AD locaux arbitraires.
Le problème est résolu dans la dernière version (1.1.553.0) d’Azure AD Connecter en n’autorisant pas la réinitialisation arbitraire du mot de passe sur les comptes d’utilisateurs privilégiés AD locaux.
Détails de l’avis
La réécriture du mot de passe est un composant d’Azure AD Connecter. Il permet aux utilisateurs de configurer Azure AD pour réécrire les mots de passe dans leur Active Directory local. Il fournit un moyen pratique basé sur le cloud pour les utilisateurs de réinitialiser leurs mots de passe locaux où qu’ils soient. Pour plus d’informations sur la réécriture du mot de passe, reportez-vous à la vue d’ensemble de l’écriture différée du mot de passe.
Pour activer l’écriture différée du mot de passe, Azure AD Connecter doit disposer de l’autorisation Réinitialiser le mot de passe sur les comptes d’utilisateur AD locaux. Lors de la configuration de l’autorisation, un Administration istrateur AD local a peut-être accordé par inadvertance à Azure AD Connecter avec l’autorisation Réinitialiser le mot de passe sur des comptes privilégiés AD locaux (y compris les comptes d’entreprise et de domaine Administration istrator). Pour plus d’informations sur les comptes d’utilisateurs privilégiés AD, reportez-vous aux comptes et groupes protégés dans Active Directory.
Cette configuration n’est pas recommandée, car elle permet à un Administration istrateur Azure AD malveillant de réinitialiser le mot de passe d’un compte privilégié utilisateur AD local arbitraire à une valeur de mot de passe connue à l’aide de la réécriture du mot de passe. Cela permet à l’Administration istrateur Azure AD malveillant d’obtenir un accès privilégié à l’AD local du client.
Voir CVE-2017-8613 - Vulnérabilité d’élévation de privilèges Connecter Azure AD
Actions suggérées
Vérifier si votre organisation est affectée
Ce problème affecte uniquement les clients qui ont activé la fonctionnalité d’écriture différée de mot de passe sur Azure AD Connecter. Pour déterminer si la fonctionnalité est activée :
- Connectez-vous à votre serveur Connecter Azure AD.
- Démarrez l’Assistant Connecter Azure AD (START → Azure AD Connecter).
- Dans l’écran d’accueil, cliquez sur Configurer.
- Dans l’écran Tâches, sélectionnez Afficher la configuration actuelle, puis cliquez sur Suivant.
- Sous Paramètres de synchronisation, case activée si la réécriture du mot de passe est activée.
Si l’écriture différée du mot de passe est activée, déterminez si votre serveur Azure AD Connecter a reçu l’autorisation Réinitialiser le mot de passe sur les comptes privilégiés AD locaux. Azure AD Connecter utilise un compte AD DS pour synchroniser les modifications avec AD local. Le même compte AD DS est utilisé pour effectuer une opération de réinitialisation de mot de passe avec AD local. Pour identifier le compte AD DS utilisé :
- Connectez-vous à votre serveur Connecter Azure AD.
- Démarrez le Gestionnaire de service de synchronisation (démarrer → service de synchronisation).
- Sous l’onglet Connecteurs, sélectionnez le Connecteur AD local et cliquez sur Propriétés.
- Dans la boîte de dialogue Propriétés, sélectionnez l’Connecter dans l’onglet Forêt Active Directory et notez la propriété Nom d’utilisateur. Il s’agit du compte AD DS utilisé par Azure AD Connect pour effectuer la synchronisation d’annuaire.
Pour qu’Azure AD Connecter effectuer l’écriture différée du mot de passe sur des comptes privilégiés AD locaux, le compte AD DS doit disposer de l’autorisation Réinitialiser le mot de passe sur ces comptes. Cela se produit généralement si un administrateur AD local dispose des éléments suivants :
- Fait du compte AD DS un membre d’un groupe privilégié AD local (par exemple, Enterprise Administration istrators ou Domaine Administration istrators), OR
- Création de droits d’accès de contrôle sur le conteneur adminSDHolder qui accorde au compte AD DS l’autorisation Réinitialiser le mot de passe. Pour plus d’informations sur la façon dont le conteneur adminSDHolder affecte l’accès aux comptes privilégiés AD locaux, reportez-vous aux comptes et groupes protégés dans Active Directory.
Vous devez examiner les autorisations effectives affectées à ce compte AD DS. Il peut être difficile et difficile de le faire en examinant les listes de contrôle d’accès existantes et l’affectation de groupe. Une approche plus simple consiste à sélectionner un ensemble de comptes privilégiés AD locaux existants et à utiliser la fonctionnalité Autorisations effectives Windows pour déterminer si le compte AD DS dispose de l’autorisation Réinitialiser le mot de passe sur ces comptes sélectionnés. Pour plus d’informations sur l’utilisation de la fonctionnalité Autorisations effectives, reportez-vous à Vérifier si Azure AD Connecter dispose de l’autorisation requise pour la réécriture du mot de passe.
Remarque
Vous pouvez avoir plusieurs comptes AD DS pour évaluer si vous synchronisez plusieurs forêts AD locales à l’aide d’Azure AD Connecter.
Étapes de correction
Effectuez une mise à niveau vers la dernière version (1.1.553.0) d’Azure AD Connecter, qui peut être téléchargée ici. Nous vous recommandons de le faire même si votre organisation n’est pas actuellement affectée. Pour plus d’informations sur la mise à niveau d’Azure AD Connecter, reportez-vous à Azure AD Connecter : découvrez comment effectuer une mise à niveau d’une version précédente vers la dernière version.
La dernière version d’Azure AD Connecter résout ce problème en bloquant la demande d’écriture différée de mot de passe pour les comptes privilégiés AD locaux, sauf si l’Administration istrateur Azure AD demandeur est le propriétaire du compte AD local. Plus précisément, quand Azure AD Connecter reçoit une demande d’écriture différée de mot de passe d’Azure AD :
- Il case activée si le compte AD local cible est un compte privilégié en validant l’attribut adminCount AD. Si la valeur est null ou 0, Azure AD Connecter conclut qu’il ne s’agit pas d’un compte privilégié et autorise la demande d’écriture différée du mot de passe.
- Si la valeur n’est pas null ou 0, Azure AD Connecter conclut qu’il s’agit d’un compte privilégié. Ensuite, il vérifie si l’utilisateur demandeur est le propriétaire du compte AD local cible. Pour ce faire, case activée la relation entre le compte AD local cible et le compte Azure AD de l’utilisateur demandeur dans son Métaverse. Si l’utilisateur demandeur est en effet le propriétaire, Azure AD Connecter autorise la demande de réécriture du mot de passe. Sinon, la demande est rejetée.
Remarque
L’attribut adminCount est géré par le processus SDProp. Par défaut, SDProp s’exécute toutes les 60 minutes. Par conséquent, il peut prendre jusqu’à une heure avant que l’attribut adminCount d’un compte d’utilisateur privilégié AD nouvellement créé soit mis à jour de NULL à 1. Jusqu’à ce que cela se produise, un administrateur Azure AD peut toujours réinitialiser le mot de passe de ce compte nouvellement créé. Pour plus d’informations sur le processus SDProp, reportez-vous aux comptes et groupes protégés dans Active Directory.
Étapes de correction
Si vous ne parvenez pas immédiatement à effectuer une mise à niveau vers la dernière version d'« Azure AD Connecter », tenez compte des options suivantes :
- Si le compte AD DS est membre d’un ou plusieurs groupes privilégiés AD locaux, envisagez de supprimer le compte AD DS des groupes.
- Si un administrateur AD local a déjà créé des droits d’accès de contrôle sur l’objet adminSDHolder pour le compte AD DS qui autorise l’opération réinitialiser le mot de passe, envisagez de le supprimer.
- Il peut ne pas toujours être possible de supprimer les autorisations existantes accordées au compte AD DS (par exemple, le compte AD DS s’appuie sur l’appartenance au groupe pour les autorisations requises pour d’autres fonctionnalités telles que la synchronisation de mot de passe ou l’écriture différée hybride Exchange). Envisagez de créer un ACE DENY sur l’objet adminSDHolder qui interdit le compte AD DS avec l’autorisation Réinitialiser le mot de passe. Pour plus d’informations sur la création d’un ACE DENY à l’aide de l’outil DSACLS Windows, reportez-vous à La modification du conteneur Administration SDHolder.
DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"
Page générée 2017-06-27 09 :50-07 :00.