Comunicado de Segurança da Microsoft 4033453
Vulnerabilidade no Azure AD Connect pode permitir a elevação de privilégio
Publicado em: 27 de junho de 2017
Versão: 1.0
Resumo Executivo
A Microsoft está lançando este comunicado de segurança para informar os clientes de que está disponível uma nova versão do Azure Ative Directory (AD) Connect que aborda uma vulnerabilidade de segurança importante.
A atualização elimina uma vulnerabilidade que pode permitir a elevação de privilégio se o write-back de Senha do Azure AD Connect for configurado incorretamente durante a habilitação. Um intruso que conseguisse explorar esta vulnerabilidade poderia repor palavras-passe e obter acesso não autorizado a contas de utilizador arbitrárias com privilégios do AD no local.
O problema é resolvido na versão mais recente (1.1.553.0) do Azure AD Connect ao não permitir a reposição arbitrária de palavra-passe para contas de utilizador privilegiadas do AD no local.
Detalhes do Comunicado
O write-back de senha é um componente do Azure AD Connect. Ele permite que os usuários configurem o Azure AD para gravar senhas de volta em seu Ative Directory local. Ele fornece uma maneira conveniente baseada em nuvem para os usuários redefinirem suas senhas locais onde quer que estejam. Para obter informações sobre write-back de senha, consulte Visão geral de write-back de senha.
Para habilitar o write-back de senha, o Azure AD Connect deve receber a permissão Redefinir senha nas contas de usuário do AD local. Ao configurar a permissão, um Administrador do AD local pode ter concedido inadvertidamente a permissão Azure AD Connect com Redefinição de Senha sobre contas privilegiadas do AD local (incluindo contas Enterprise e Administrador de Domínio). Para obter informações sobre contas de usuário com privilégios do AD, consulte Contas e grupos protegidos no Ative Directory.
Essa configuração não é recomendada porque permite que um Administrador do Azure AD mal-intencionado redefina a senha de uma conta privilegiada de usuário do AD local arbitrária para um valor de senha conhecido usando o write-back de senha. Isso, por sua vez, permite que o Administrador do Azure AD mal-intencionado obtenha acesso privilegiado ao AD local do cliente.
Consulte CVE-2017-8613 - Vulnerabilidade de elevação de privilégio do Azure AD Connect
Ações Sugeridas
Verificar se a sua organização é afetada
Esse problema afeta apenas os clientes que habilitaram o recurso de write-back de senha no Azure AD Connect. Para determinar se o recurso está habilitado:
- Faça logon no servidor Azure AD Connect.
- Inicie o assistente do Azure AD Connect (START → Azure AD Connect).
- Na tela de boas-vindas, clique em Configurar.
- Na tela Tarefas, selecione Exibir configuração atual e clique em Avançar.
- Em Configurações de sincronização, verifique se o Write-back de senha está habilitado.
.png)
Se o write-back de Senha estiver habilitado, avalie se o servidor Azure AD Connect recebeu a permissão Redefinir Senha em contas privilegiadas do AD local. O Azure AD Connect usa uma conta do AD DS para sincronizar alterações com o AD local. A mesma conta do AD DS é usada para executar a operação de redefinição de senha com o AD local. Para identificar qual conta do AD DS é usada:
- Faça logon no servidor Azure AD Connect.
- Inicie o Gerenciador de Serviço de Sincronização (Iniciar → Serviço de Sincronização).
- Na guia Conectores, selecione o conector AD local e clique em Propriedades.
.png)
- Na caixa de diálogo Propriedades, selecione a guia Conectar à Floresta do Ative Directory e anote a propriedade Nome de usuário. Esta é a conta do AD DS usada pelo Azure AD Connect para executar a sincronização de diretórios.
.png)
Para que o Azure AD Connect execute o write-back de Senha em contas privilegiadas do AD locais, a conta do AD DS deve receber a permissão Redefinir Senha nessas contas. Isso normalmente acontece se um administrador do AD local tiver:
- Tornou a conta do AD DS um membro de um grupo privilegiado do AD local (por exemplo, grupo Administradores Empresariais ou Administradores de Domínio), OU
- Direitos de acesso de controle criados no contêiner adminSDHolder que concede à conta do AD DS a permissão Redefinir senha. Para obter informações sobre como o contêiner adminSDHolder afeta o acesso a contas privilegiadas do AD locais, consulte Contas e grupos protegidos no Ative Directory.
Você precisa examinar as permissões efetivas atribuídas a essa conta do AD DS. Pode ser difícil e propenso a erros fazê-lo examinando ACLs existentes e atribuição de grupo. Uma abordagem mais fácil é selecionar um conjunto de contas privilegiadas do AD locais existentes e usar o recurso Permissões Efetivas do Windows para determinar se a conta do AD DS tem permissão Redefinir Senha sobre essas contas selecionadas. Para obter informações sobre como usar o recurso Permissões Efetivas, consulte Verificar se o Azure AD Connect tem a permissão necessária para write-back de senha.
Nota
Você pode ter mais de uma conta do AD DS para avaliar se está sincronizando várias florestas do AD local usando o Azure AD Connect.
Passos de remediação
Atualize para a versão mais recente (1.1.553.0) do Azure AD Connect, que pode ser baixado aqui. Recomendamos que o faça mesmo que a sua organização não seja afetada no momento. Para obter informações sobre como atualizar o Azure AD Connect, consulte Azure AD Connect: Saiba como atualizar de uma versão anterior para a mais recente.
A versão mais recente do Azure AD Connect resolve esse problema bloqueando a solicitação de write-back de senha para contas privilegiadas do AD local, a menos que o Administrador do Azure AD solicitante seja o proprietário da conta do AD local. Mais especificamente, quando o Azure AD Connect recebe uma solicitação de write-back de senha do Azure AD:
- Ele verifica se a conta do AD local de destino é uma conta privilegiada validando o atributo adminCount do AD. Se o valor for nulo ou 0, o Azure AD Connect concluirá que esta não é uma conta privilegiada e permitirá a solicitação de write-back de senha.
- Se o valor não for nulo ou 0, o Azure AD Connect concluirá que esta é uma conta privilegiada. Em seguida, ele valida se o usuário solicitante é o proprietário da conta do AD local de destino. Ele faz isso verificando a relação entre a conta do AD local de destino e a conta do Azure AD do usuário solicitante em seu Metaverso. Se o usuário solicitante for realmente o proprietário, o Azure AD Connect permitirá a solicitação de write-back de senha. Caso contrário, o pedido é rejeitado.
Nota
O atributo adminCount é gerenciado pelo processo SDProp. Por padrão, o SDProp é executado a cada 60 minutos. Portanto, pode levar até uma hora até que o atributo adminCount de uma conta de usuário privilegiada do AD recém-criada seja atualizado de NULL para 1. Até que isso aconteça, um administrador do Azure AD ainda pode redefinir a senha dessa conta recém-criada. Para obter informações sobre o processo SDProp, consulte Contas e grupos protegidos no Ative Directory.
Passos de mitigação
Se você não conseguir atualizar imediatamente para a versão mais recente do "Azure AD Connect", considere as seguintes opções:
- Se a conta do AD DS for membro de um ou mais grupos privilegiados do AD local, considere remover a conta do AD DS dos grupos.
- Se um administrador do AD local tiver criado anteriormente Direitos de Acesso de Controle no objeto adminSDHolder para a conta do AD DS que permita a operação Redefinir Senha, considere removê-lo.
- Nem sempre é possível remover as permissões existentes concedidas à conta do AD DS (por exemplo, a conta do AD DS depende da associação ao grupo para obter as permissões necessárias para outros recursos, como sincronização de senha ou write-back híbrido do Exchange). Considere a criação de uma ACE DENY no objeto adminSDHolder que não permite a conta do AD DS com a permissão Redefinir Senha. Para obter informações sobre como criar uma ACE DENY usando a ferramenta DSACLS do Windows, consulte Modificar o contêiner AdminSDHolder.
DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"
Página gerada em 2017-06-27 09:50-07:00.