Microsoft Security Advisory 4033453

Beveiligingsprobleem in Azure AD Verbinding maken kan uitbreiding van bevoegdheden toestaan

Gepubliceerd: 27 juni 2017

Versie: 1.0

Samenvatting

Microsoft brengt dit beveiligingsadvies uit om klanten te informeren dat er een nieuwe versie van Azure Active Directory (AD) Verbinding maken beschikbaar is die een belangrijk beveiligingsprobleem aanpakt.

Met de update wordt een beveiligingsprobleem opgelost dat uitbreiding van bevoegdheden mogelijk maakt als Azure AD Verbinding maken Wachtwoord terugschrijven onjuist is geconfigureerd tijdens het inschakelen. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan wachtwoorden opnieuw instellen en onbevoegde toegang krijgen tot willekeurige on-premises AD-gebruikersaccounts met bevoegdheden.

Het probleem wordt opgelost in de nieuwste versie (1.1.553.0) van Azure AD-Verbinding maken door willekeurige wachtwoordherstel naar on-premises ad-gebruikersaccounts met bevoegdheden niet toe te staan.

Adviesdetails

Wachtwoord terugschrijven is een onderdeel van Azure AD-Verbinding maken. Hiermee kunnen gebruikers Azure AD configureren om wachtwoorden terug te schrijven naar hun on-premises Active Directory. Het biedt een handige cloudgebaseerde manier voor gebruikers om hun on-premises wachtwoorden overal opnieuw in te stellen. Raadpleeg het overzicht van wachtwoord terugschrijven voor informatie over het terugschrijven van wachtwoorden.

Als u wachtwoord terugschrijven wilt inschakelen, moet aan Azure AD Verbinding maken de machtiging Wachtwoord opnieuw instellen worden verleend via de on-premises AD-gebruikersaccounts. Bij het instellen van de machtiging heeft een on-premises AD-Beheer istrator mogelijk per ongeluk Azure AD-Verbinding maken verleend met de machtiging Wachtwoord opnieuw instellen voor on-premises AD-bevoegde accounts (inclusief Enterprise- en Domain Beheer istrator-accounts). Raadpleeg beveiligde accounts en groepen in Active Directory voor informatie over gebruikersaccounts met ad-bevoegdheden.

Deze configuratie wordt niet aanbevolen omdat een kwaadwillende Azure AD-Beheer istrator het wachtwoord van een willekeurig on-premises AD-account met bevoegdheden opnieuw kan instellen op een bekende wachtwoordwaarde met behulp van wachtwoord terugschrijven. Hierdoor kan de kwaadwillende Azure AD-Beheer istrator bevoorrechte toegang krijgen tot de on-premises AD van de klant.

Zie CVE-2017-8613 - Azure AD Verbinding maken Beveiligingsprobleem met onrechtmatige uitbreiding van bevoegdheden

Voorgestelde acties

Controleren of uw organisatie wordt beïnvloed

Dit probleem is alleen van invloed op klanten die de functie Wachtwoord terugschrijven hebben ingeschakeld in Azure AD Verbinding maken. Ga als volgt te werk om te bepalen of de functie is ingeschakeld:

1. Meld u aan bij uw Azure AD-Verbinding maken-server.
2. De wizard Azure AD Verbinding maken starten (START → Azure AD-Verbinding maken).
3. Klik in het welkomstscherm op Configureren.
4. Selecteer Huidige configuratie weergeven in het scherm Taken en klik op Volgende.
5. Controleer onder Synchronisatie Instellingen of Wachtwoord terugschrijven is ingeschakeld.

 

 

Als wachtwoord terugschrijven is ingeschakeld, controleert u of aan uw Azure AD-Verbinding maken-server de machtiging Wachtwoord opnieuw instellen is verleend voor on-premises ad-bevoegde accounts. Azure AD Verbinding maken gebruikt een AD DS-account om wijzigingen te synchroniseren met on-premises AD. Hetzelfde AD DS-account wordt gebruikt om de bewerking voor wachtwoordherstel uit te voeren met on-premises AD. Ga als volgt te werk om te bepalen welk AD DS-account wordt gebruikt:

1. Meld u aan bij uw Azure AD-Verbinding maken-server.
2. Start De Synchronization Service Manager (Start → Synchronization Service).
3. Selecteer op het tabblad Verbinding maken ors de on-premises AD-connector en klik op Eigenschappen.

 

4. Selecteer in het dialoogvenster Eigenschappen het tabblad Verbinding maken active Directory-forest en noteer de eigenschap Gebruikersnaam. Dit is het AD DS-account dat door Azure AD Verbinding maken wordt gebruikt om adreslijstsynchronisatie uit te voeren.

 

Voor Azure AD-Verbinding maken het terugschrijven van wachtwoorden op on-premises AD-bevoegde accounts moet aan het AD DS-account de machtiging Wachtwoord opnieuw instellen worden verleend voor deze accounts. Dit gebeurt meestal als een on-premises AD-beheerder een van de volgende opties heeft:

• Maakte het AD DS-account lid van een on-premises GROEP met ad-bevoegdheden (bijvoorbeeld Ondernemings-Beheer istrators of domein Beheer istrators groep), OR
• U hebt toegangsrechten gemaakt voor de container adminSDHolder die het AD DS-account met de machtiging Wachtwoord opnieuw instellen verleent. Raadpleeg Beveiligde accounts en groepen in Active Directory voor informatie over hoe de container adminSDHolder van invloed is op de toegang tot on-premises AD-bevoegde accounts.

U moet de effectieve machtigingen onderzoeken die zijn toegewezen aan dit AD DS-account. Het kan lastig en foutgevoelig zijn om dit te doen door bestaande ACL's en groepstoewijzing te onderzoeken. Een eenvoudigere benadering is om een set bestaande on-premises AD-bevoegde accounts te selecteren en de functie Effectieve machtigingen voor Windows te gebruiken om te bepalen of het AD DS-account de machtiging Wachtwoord opnieuw instellen heeft voor deze geselecteerde accounts. Raadpleeg voor meer informatie over het gebruik van de functie Effectieve machtigingen controleren of Azure AD Verbinding maken over de vereiste machtiging voor wachtwoord terugschrijven beschikt.

Notitie

Mogelijk hebt u meer dan één AD DS-account om te evalueren of u meerdere on-premises AD-forests synchroniseert met behulp van Azure AD Verbinding maken.

Herstelstappen

Voer een upgrade uit naar de nieuwste versie (1.1.553.0) van Azure AD Verbinding maken, die u hier kunt downloaden. We raden u aan dit te doen, zelfs als uw organisatie momenteel niet wordt beïnvloed. Raadpleeg Azure AD-Verbinding maken voor informatie over het upgraden van Azure AD-Verbinding maken: Informatie over het upgraden van een vorige versie naar de nieuwste versie.

De nieuwste versie van Azure AD Verbinding maken dit probleem verhelpt door de aanvraag voor het terugschrijven van wachtwoorden voor on-premises AD-bevoegde accounts te blokkeren, tenzij de aanvragende Azure AD-Beheer istrator de eigenaar van het on-premises AD-account is. Meer specifiek wanneer Azure AD Verbinding maken een aanvraag voor wachtwoord terugschrijven van Azure AD ontvangt:

• Er wordt gecontroleerd of het on-premises AD-doelaccount een bevoegd account is door het kenmerk AD adminCount te valideren. Als de waarde null of 0 is, wordt door Azure AD Verbinding maken concluderen dat dit geen bevoegd account is en de aanvraag voor wachtwoord terugschrijven toestaat.
• Als de waarde niet null of 0 is, Verbinding maken azure AD concluderen dat dit een bevoegd account is. Vervolgens wordt gevalideerd of de aanvragende gebruiker de eigenaar is van het on-premises AD-doelaccount. Dit doet u door de relatie tussen het on-premises AD-doelaccount en het Azure AD-account van de aanvragende gebruiker in de Metaverse te controleren. Als de aanvragende gebruiker inderdaad de eigenaar is, Verbinding maken azure AD de aanvraag voor wachtwoord terugschrijven toestaat. Anders wordt de aanvraag geweigerd.

Notitie

Het kenmerk adminCount wordt beheerd door het SDProp-proces. SDProp wordt standaard elke 60 minuten uitgevoerd. Het kan daarom tot een uur duren voordat het adminCount-kenmerk van een zojuist gemaakte AD-bevoegde gebruikersaccount wordt bijgewerkt van NULL naar 1. Totdat dit gebeurt, kan een Azure AD-beheerder nog steeds het wachtwoord van dit zojuist gemaakte account opnieuw instellen. Raadpleeg beveiligde accounts en groepen in Active Directory voor informatie over het SDProp-proces.

Correctiestappen

Als u niet direct kunt upgraden naar de nieuwste versie van Azure AD Verbinding maken, kunt u de volgende opties overwegen:

• Als het AD DS-account lid is van een of meer on-premises AD-bevoegde groepen, kunt u overwegen om het AD DS-account uit de groepen te verwijderen.
• Als een on-premises AD-beheerder eerder Beheertoegangsrechten heeft gemaakt voor het object adminSDHolder voor het AD DS-account dat de bewerking Wachtwoord opnieuw instellen toestaat, kunt u overwegen het te verwijderen.
• Het is niet altijd mogelijk om bestaande machtigingen te verwijderen die zijn verleend aan het AD DS-account (het AD DS-account is bijvoorbeeld afhankelijk van het groepslidmaatschap voor machtigingen die zijn vereist voor andere functies, zoals wachtwoordsynchronisatie of hybride write-back van Exchange). Overweeg om een DENY ACE te maken op het object adminSDHolder, waardoor het AD DS-account niet is toe te staan met de machtiging Wachtwoord opnieuw instellen. Raadpleeg de container Beheer SDHolder wijzigen voor informatie over het maken van een DENY ACE met behulp van het windows DSACLS-hulpprogramma.

    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Pagina gegenereerd 2017-06-27 09:50-07:00.