4033453 de aviso de seguridad de Microsoft

  • Artículo

Vulnerabilidad en Azure AD Conectar podría permitir la elevación de privilegios

Publicado: 27 de junio de 2017

Versión: 1.0

Resumen ejecutivo

Microsoft publica este aviso de seguridad para informar a los clientes de que hay disponible una nueva versión de Azure Active Directory (AD) Conectar que soluciona una vulnerabilidad de seguridad importante.

La actualización soluciona una vulnerabilidad que podría permitir la elevación de privilegios si la escritura diferida de contraseñas de Azure AD Conectar está mal configurada durante la habilitación. Un atacante que aprovechara correctamente esta vulnerabilidad podría restablecer las contraseñas y obtener acceso no autorizado a cuentas de usuario con privilegios de AD locales arbitrarios.

El problema se soluciona en la versión más reciente (1.1.553.0) de Azure AD Conectar al no permitir el restablecimiento arbitrario de contraseña en cuentas de usuario con privilegios de AD locales.

Detalles de asesoramiento

La escritura diferida de contraseñas es un componente de azure AD Conectar. Permite a los usuarios configurar Azure AD para volver a escribir contraseñas en su Active Directory local. Proporciona una forma cómoda basada en la nube para que los usuarios restablezcan sus contraseñas locales dondequiera que estén. Para obtener información sobre la escritura diferida de contraseñas, consulte Introducción a la escritura diferida de contraseñas.

Para habilitar la escritura diferida de contraseñas, se debe conceder permiso de restablecimiento de contraseña a Azure AD Conectar sobre las cuentas de usuario de AD locales. Al configurar el permiso, un Administración istrator local de AD puede haber concedido accidentalmente a Azure AD Conectar con el permiso restablecer contraseña sobre cuentas con privilegios de AD locales (incluidas las cuentas de dominio y de empresa Administración istrator). Para obtener información sobre las cuentas de usuario con privilegios de AD, consulte Cuentas protegidas y grupos en Active Directory.

Esta configuración no se recomienda porque permite que un Administración istrator malintencionado de Azure AD restablezca la contraseña de una cuenta con privilegios de usuario de AD local arbitraria a un valor de contraseña conocido mediante la escritura diferida de contraseñas. Esto, a su vez, permite que el Administración istrator malintencionado de Azure AD obtenga acceso con privilegios a AD local del cliente.

Consulte CVE-2017-8613: Vulnerabilidad de elevación de privilegios de Azure AD Conectar

Acciones sugeridas

Comprobación de si la organización se ve afectada

Este problema solo afecta a los clientes que han habilitado la característica escritura diferida de contraseñas en azure AD Conectar. Para determinar si la característica está habilitada:

  1. Inicie sesión en el servidor Conectar de Azure AD.
  2. Inicie el Asistente para Conectar de Azure AD (START → azure AD Conectar).
  3. En la pantalla de bienvenida, haga clic en Configurar.
  4. En la pantalla Tareas, seleccione Ver configuración actual y haga clic en Siguiente.
  5. En Sincronización Configuración, compruebe si la escritura diferida de contraseñas está habilitada.

 

 

Si la escritura diferida de contraseñas está habilitada, evalúe si se ha concedido permiso de restablecimiento de contraseña al servidor de Azure AD Conectar en cuentas con privilegios locales de AD. Azure AD Conectar usa una cuenta de AD DS para sincronizar los cambios con AD local. La misma cuenta de AD DS se usa para realizar la operación de restablecimiento de contraseña con AD local. Para identificar qué cuenta de AD DS se usa:

  1. Inicie sesión en el servidor Conectar de Azure AD.
  2. Inicie Synchronization Service Manager (Iniciar → Servicio de sincronización).
  3. En la pestaña Conectores, seleccione el conector AD local y haga clic en Propiedades.

 

  1. En el cuadro de diálogo Propiedades, seleccione el Conectar a la pestaña Bosque de Active Directory y anote la propiedad Nombre de usuario. Se trata de la cuenta de AD DS que Azure AD Connect usa para realizar la sincronización de directorios.

 

Para que Azure AD Conectar realizar la escritura diferida de contraseñas en cuentas con privilegios de AD locales, a la cuenta de AD DS se le debe conceder permiso de restablecimiento de contraseña en estas cuentas. Esto suele ocurrir si un administrador de AD local tiene:

  • Hizo que la cuenta de AD DS sea miembro de un grupo con privilegios de AD local (por ejemplo, Enterprise Administración istrators o grupo domain Administración istrators), OR
  • Se crearon derechos de acceso de control en el contenedor adminSDHolder que concede a la cuenta de AD DS el permiso Restablecer contraseña. Para obtener información sobre cómo afecta el contenedor adminSDHolder al acceso a cuentas con privilegios de AD locales, consulte Cuentas protegidas y grupos en Active Directory.

Debe examinar los permisos efectivos asignados a esta cuenta de AD DS. Puede ser difícil y propenso a errores para hacerlo mediante el examen de las ACL existentes y la asignación de grupos. Un enfoque más sencillo consiste en seleccionar un conjunto de cuentas con privilegios de AD locales existentes y usar la característica Permisos efectivos de Windows para determinar si la cuenta de AD DS tiene el permiso Restablecer contraseña sobre estas cuentas seleccionadas. Para obtener información sobre cómo usar la característica Permisos efectivos, consulte Comprobación de si Azure AD Conectar tiene el permiso necesario para la escritura diferida de contraseñas.

Nota:

Es posible que tenga más de una cuenta de AD DS para evaluar si está sincronizando varios bosques de AD locales mediante azure AD Conectar.

Pasos para la corrección

Actualice a la versión más reciente (1.1.553.0) de Azure AD Conectar, que se puede descargar desde aquí. Se recomienda hacerlo incluso si su organización no se ve afectada actualmente. Para obtener información sobre cómo actualizar azure AD Conectar, consulte Azure AD Conectar: Aprenda a actualizar de una versión anterior a la más reciente.

La versión más reciente de Azure AD Conectar soluciona este problema bloqueando la solicitud de escritura diferida de contraseñas para cuentas con privilegios de AD locales a menos que la solicitud de Azure AD Administración istrator sea el propietario de la cuenta de AD local. Más concretamente, cuando Azure AD Conectar recibe una solicitud de escritura diferida de contraseñas de Azure AD:

  • Comprueba si la cuenta de AD local de destino es una cuenta con privilegios validando el atributo adminCount de AD. Si el valor es null o 0, Azure AD Conectar concluye que no es una cuenta con privilegios y permite la solicitud de escritura diferida de contraseñas.
  • Si el valor no es null o 0, Azure AD Conectar concluye que se trata de una cuenta con privilegios. A continuación, valida si el usuario solicitante es el propietario de la cuenta de AD local de destino. Para ello, comprueba la relación entre la cuenta de AD local de destino y la cuenta de Azure AD del usuario solicitante en su metaverso. Si el usuario solicitante es realmente el propietario, Azure AD Conectar permite la solicitud de escritura diferida de contraseñas. En caso contrario, la solicitud se rechaza.

Nota:

El proceso SDProp administra el atributo adminCount. De forma predeterminada, SDProp se ejecuta cada 60 minutos. Por lo tanto, el atributo adminCount de una cuenta de usuario con privilegios de AD recién creado puede tardar hasta una hora en actualizarse de NULL a 1. Hasta que esto suceda, un administrador de Azure AD todavía puede restablecer la contraseña de esta cuenta recién creada. Para obtener información sobre el proceso SDProp, consulte Cuentas protegidas y grupos en Active Directory.

Pasos de mitigación

Si no puede actualizar inmediatamente a la versión más reciente de "Azure AD Conectar", tenga en cuenta las siguientes opciones:

  • Si la cuenta de AD DS es miembro de uno o varios grupos con privilegios de AD locales, considere la posibilidad de quitar la cuenta de AD DS de los grupos.
  • Si un administrador de AD local ha creado previamente derechos de acceso de control en el objeto adminSDHolder para la cuenta de AD DS que permite restablecer la operación de contraseña, considere la posibilidad de quitarla.
  • Es posible que no siempre sea posible quitar los permisos existentes concedidos a la cuenta de AD DS (por ejemplo, la cuenta de AD DS se basa en la pertenencia a grupos para los permisos necesarios para otras características, como la sincronización de contraseñas o la escritura diferida híbrida de Exchange). Considere la posibilidad de crear una ACE DENY en el objeto adminSDHolder que no permite la cuenta de AD DS con el permiso Restablecer contraseña. Para obtener información sobre cómo crear una ACE DENY mediante la herramienta DSACLS de Windows, consulte Modificación del contenedor Administración SDHolder.
    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Página generada 2017-06-27 09:50-07:00.