다음을 통해 공유


Microsoft 보안 권고 4033453

Azure AD 커넥트 취약성으로 인해 권한 상승이 허용될 수 있음

게시 날짜: 2017년 6월 27일

버전: 1.0

요약

Microsoft는 중요한 보안 취약성을 해결하는 새 버전의 Azure AD(Active Directory) 커넥트 사용할 수 있음을 고객에게 알리기 위해 이 보안 권고를 릴리스합니다.

이 업데이트는 사용 중에 Azure AD 커넥트 비밀번호 쓰기 저장이 잘못 구성된 경우 권한 상승을 허용할 수 있는 취약성을 해결합니다. 이 취약성을 성공적으로 악용한 공격자는 암호를 재설정하고 임의의 온-프레미스 AD 권한 있는 사용자 계정에 무단으로 액세스할 수 있습니다.

이 문제는 온-프레미스 AD 권한 있는 사용자 계정으로 임의의 암호 재설정을 허용하지 않음으로써 Azure AD 커넥트 최신 버전(1.1.553.0)에서 해결됩니다.

권고 세부 정보

비밀번호 쓰기 저장은 Azure AD 커넥트 구성 요소입니다. 사용자가 암호를 온-프레미스 Active Directory 다시 쓰도록 Azure AD를 구성할 수 있습니다. 사용자가 어디에 있든 온-프레미스 암호를 재설정할 수 있는 편리한 클라우드 기반 방법을 제공합니다. 비밀번호 쓰기 저장에 대한 자세한 내용은 비밀번호 쓰기 저장 개요참조하세요.

비밀번호 쓰기 저장을 사용하도록 설정하려면 Azure AD 커넥트 온-프레미스 AD 사용자 계정에 대한 암호 재설정 권한을 부여해야 합니다. 권한을 설정할 때 온-프레미스 AD 관리istrator가 온-프레미스 AD 권한 있는 계정(Enterprise 및 Do기본 관리istrator 계정 포함)에 대한 암호 재설정 권한이 있는 Azure AD 커넥트 실수로 부여했을 수 있습니다. AD 권한 있는 사용자 계정에 대한 자세한 내용은 Active Directory의 보호된 계정 및 그룹을 참조 하세요.

이 구성은 악의적인 Azure AD 관리istrator가 비밀번호 쓰기 저장을 사용하여 임의의 온-프레미스 AD 사용자 권한 계정의 암호를 알려진 암호 값으로 다시 설정할 수 있으므로 권장되지 않습니다. 그러면 악의적인 Azure AD 관리istrator가 고객의 온-프레미스 AD에 대한 권한 있는 액세스 권한을 얻을 수 있습니다.

CVE-2017-8613 - Azure AD 커넥트 권한 상승 취약성 참조

제안된 작업

조직이 영향을 받는지 확인

이 문제는 Azure AD 커넥트 비밀번호 쓰기 저장 기능을 사용하도록 설정한 고객에게만 영향을 줍니다. 기능을 사용할 수 있는지 확인하려면 다음을 수행합니다.

  1. Azure AD 커넥트 서버에 로그인합니다.
  2. Azure AD 커넥트 마법사 시작(Azure AD 커넥트 시작 →).
  3. 시작 화면에서 구성을 클릭합니다.
  4. 작업 화면에서 현재 구성 보기를 선택하고 다음을 클릭합니다.
  5. 동기화 설정 비밀번호 쓰기 저장이 사용되는지 검사.

 

 

비밀번호 쓰기 저장을 사용하는 경우 Azure AD 커넥트 서버에 온-프레미스 AD 권한 있는 계정에 대한 암호 재설정 권한이 부여되었는지 여부를 평가합니다. Azure AD 커넥트 AD DS 계정을 사용하여 온-프레미스 AD와 변경 내용을 동기화합니다. 동일한 AD DS 계정은 온-프레미스 AD를 사용하여 암호 재설정 작업을 수행하는 데 사용됩니다. 사용되는 AD DS 계정을 식별하려면 다음을 수행합니다.

  1. Azure AD 커넥트 서버에 로그인합니다.
  2. 동기화 서비스 관리자를 시작합니다(→ 동기화 서비스 시작).
  3. 커넥트 탭에서 온-프레미스 AD 커넥터선택하고 속성을 클릭합니다.

 

  1. 속성 대화 상자에서 Active Directory 포리스트에 대한 커넥트 선택하고 사용자 이름 속성을 적어둡니다. Azure AD 커넥트 디렉터리 동기화를 수행하는 데 사용하는 AD DS 계정입니다.

 

Azure AD 커넥트 온-프레미스 AD 권한 있는 계정에서 비밀번호 쓰기 저장을 수행하려면 AD DS 계정에 이러한 계정에 대한 암호 재설정 권한을 부여해야 합니다. 일반적으로 온-프레미스 AD 관리자에게 다음 중 하나가 있는 경우 발생합니다.

  • AD DS 계정을 온-프레미스 AD 권한 있는 그룹의 구성원으로 만들기(예: Enterprise 관리istrators or Do기본 관리istrators group) OR
  • 암호 재설정 권한이 있는 AD DS 계정에 권한을 부여하는 adminSDHolder 컨테이너에 대한 제어 액세스 권한을 만들었습니다. adminSDHolder 컨테이너가 온-프레미스 AD 권한 있는 계정에 대한 액세스에 미치는 영향에 대한 자세한 내용은 Active Directory의 보호된 계정 및 그룹을 참조 하세요.

이 AD DS 계정에 할당된 유효 권한을 검사해야 합니다. 기존 ACL 및 그룹 할당을 검사하면 어렵고 오류가 발생하기 쉬울 수 있습니다. 더 쉬운 방법은 기존 온-프레미스 AD 권한 있는 계정 집합을 선택하고 Windows 유효 권한 기능을 사용하여 AD DS 계정에 이러한 선택한 계정에 대한 암호 재설정 권한이 있는지 확인하는 것입니다. 유효 권한 기능을 사용하는 방법에 대한 자세한 내용은 Azure AD 커넥트 비밀번호 쓰기 저장에 필요한 권한이 있는지 여부를 확인하세요.

참고 항목

Azure AD 커넥트 사용하여 여러 온-프레미스 AD 포리스트를 동기화하는지 평가할 AD DS 계정이 둘 이상 있을 수 있습니다.

수정 단계

여기에서 다운로드할 수 있는 Azure AD 커넥트 최신 버전(1.1.553.0)으로 업그레이드합니다. 조직이 현재 영향을 받지 않더라도 이 작업을 수행하는 것이 좋습니다. Azure AD 커넥트 업그레이드하는 방법에 대한 자세한 내용은 Azure AD 커넥트 참조하세요. 이전 버전에서 최신 버전으로 업그레이드하는 방법을 알아봅니다.

최신 버전의 Azure AD 커넥트 요청 Azure AD 관리istrator가 온-프레미스 AD 계정의 소유자가 아닌 한 온-프레미스 AD 권한 있는 계정에 대한 비밀번호 쓰기 저장 요청을 차단하여 이 문제를 해결합니다. 더 구체적으로, Azure AD 커넥트 Azure AD에서 비밀번호 쓰기 저장 요청을 수신하는 경우:

  • 대상 온-프레미스 AD 계정이 AD adminCount 특성의 유효성을 검사하여 권한 있는 계정인지 검사. 값이 null 또는 0이면 Azure AD 커넥트 권한 있는 계정이 아니며 비밀번호 쓰기 저장 요청을 허용합니다.
  • 값이 null 또는 0이 아니면 Azure AD 커넥트 권한 있는 계정으로 결론을 내립니다. 그런 다음 요청 중인 사용자가 대상 온-프레미스 AD 계정의 소유자인지 여부를 확인합니다. 이렇게 하려면 대상 온-프레미스 AD 계정과 Metaverse에서 요청하는 사용자의 Azure AD 계정 간의 관계를 검사. 요청하는 사용자가 실제로 소유자인 경우 Azure AD 커넥트 비밀번호 쓰기 저장 요청을 허용합니다. 그렇지 않으면 요청이 거부됩니다.

참고 항목

adminCount 특성은 SDProp 프로세스에서 관리됩니다. 기본적으로 SDProp은 60분마다 실행됩니다. 따라서 새로 만든 AD 권한 있는 사용자 계정의 adminCount 특성이 NULL에서 1로 업데이트되기까지 최대 1시간이 걸릴 수 있습니다. 이 경우 Azure AD 관리자는 새로 만든 이 계정의 암호를 다시 설정할 수 있습니다. SDProp 프로세스에 대한 자세한 내용은 Active Directory의 보호된 계정 및 그룹을 참조 하세요.

완화 단계

최신 "Azure AD 커넥트" 버전으로 즉시 업그레이드할 수 없는 경우 다음 옵션을 고려하세요.

  • AD DS 계정이 하나 이상의 온-프레미스 AD 권한 있는 그룹의 구성원인 경우 그룹에서 AD DS 계정을 제거하는 것이 좋습니다.
  • 온-프레미스 AD 관리자가 이전에 암호 재설정 작업을 허용하는 AD DS 계정에 대한 adminSDHolder 개체에 대한 액세스 제어 권한을 만든 경우 이를 제거하는 것이 좋습니다.
  • AD DS 계정에 부여된 기존 사용 권한을 항상 제거할 수 있는 것은 아닙니다(예: AD DS 계정은 암호 동기화 또는 Exchange 하이브리드 쓰기 저장과 같은 다른 기능에 필요한 권한에 대해 그룹 멤버 자격을 사용합니다). 암호 재설정 권한으로 AD DS 계정을 허용하지 않는 adminSDHolder 개체에 DENY ACE를 만드는 것이 좋습니다. Windows DSACLS 도구를 사용하여 DENY ACE를 만드는 방법에 대한 자세한 내용은 관리SDHolder 컨테이너 수정을 참조하세요.
    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

페이지 생성 2017-06-27 09:50-07:00.