Comunicado de Segurança da Microsoft 4033453

Vulnerabilidade no Azure AD Connect pode permitir a elevação de privilégio

Publicado em: 27 de junho de 2017

Versão: 1.0

Resumo executivo

A Microsoft está lançando este comunicado de segurança para informar os clientes de que está disponível uma nova versão do Azure AD (Active Directory) Connect que resolve uma vulnerabilidade de segurança Importante.

A atualização resolve uma vulnerabilidade que poderá permitir a elevação de privilégio se o Write-back de senha do Azure AD Connect for configurado incorretamente durante a habilitação. Um invasor que explorar com êxito essa vulnerabilidade poderá redefinir as senhas e obter acesso não autorizado a contas de usuário privilegiadas do AD locais arbitrárias.

O problema é resolvido na última versão (1.1.553.0) do Azure AD Connect, não permitindo a redefinição arbitrária de senhas para contas de usuário privilegiadas do AD locais.

Detalhes do Comunicado

O write-back de senha é um componente do Azure AD Connect. Ele permite que os usuários configurem o Azure AD para gravar senhas de volta no Active Directory local. Ele fornece uma maneira conveniente baseada em nuvem para que os usuários redefinam suas senhas locais, onde quer que estejam. Para obter informações sobre o write-back de senha, consulte Visão geral do write-back de senha.

Para habilitar o Write-back de senha, deve ser concedida ao Azure AD Connect a permissão Redefinir Senha em relação às contas de usuário do AD locais. Ao configurar a permissão, um Administrador do AD local pode inadvertidamente ter concedido ao Azure AD Connect a permissão Redefinir Senha em relação às contas privilegiadas do AD locais (inclusive as contas de Administrador Corporativo e de Domínio). Para obter informações sobre contas de usuários privilegiadas do AD, consulte Contas e grupos protegidos no Active Directory.

Essa configuração não é recomendada porque permite que um Administrador do Azure AD mal-intencionado redefina a senha de uma conta privilegiada de usuário do AD local arbitrária para um valor de senha conhecido usando o Write-back de senha. Por sua vez, isso permite que o Administrador do Azure AD mal-intencionado obtenha acesso privilegiado ao AD local do cliente.

Consulte CVE-2017-8613 - vulnerabilidade de elevação de privilégio do Azure AD Connect

Ações sugeridas

Verifique se sua organização foi afetada

Esse problema afeta somente os clientes que habilitaram o recurso de Write-back de senha no Azure AD Connect. Para determinar se o recurso está habilitado:

  1. Faça logon em seu servidor do Azure AD Connect.
  2. Inicie o assistente do Azure AD Connect (INICIAR → Azure AD Connect).
  3. Na tela de Boas-vindas, clique em Configurar.
  4. Na tela Tarefas, selecione Exibir configuração atual e clique em Avançar.
  5. Em Configurações de Sincronização, verifique se Write-back de Senha está habilitado.

Se o Write-back de senha estiver habilitado, avalie se o seu servidor do Azure AD Connect recebeu a permissão Redefinir Senha em relação às contas privilegiadas do AD locais. O Azure AD Connect usa uma conta do AD DS para sincronizar as alterações com o AD local. A mesma conta do AD DS é usada para executar a operação de redefinição de senha com o AD local. Para identificar qual conta do AD DS é usada:

  1. Faça logon em seu servidor do Azure AD Connect.
  2. Inicie o Synchronization Service Manager (Iniciar → Serviço de Sincronização).
  3. Na guia Conectores, selecione o Conector AD local e clique em Propriedades.

  4. Na caixa de diálogo Propriedades, selecione a guia Conectar à Floresta do Active Directory e anote a propriedade Nome de usuário. Essa é a conta do AD DS usada pelo Azure AD Connect para executar a sincronização de diretório.

Para que o Azure AD Connect execute o Write-back de senha em contas privilegiadas do AD locais, a conta do AD DS deve ter recebido a permissão Redefinir Senha em relação a essas contas. Geralmente, isso ocorre se um administrador do AD local:

  • Tornou a conta do AD DS membro de um grupo privilegiado do AD local (por exemplo, o grupo Administradores Corporativos ou Administradores de Domínio) OU
  • Criou Direitos de Acesso ao Controle no contêiner adminSDHolder, que concede à conta do AD DS a permissão Redefinir Senha. Para obter informações sobre como o contêiner adminSDHolder afeta o acesso a contas privilegiadas do AD locais, consulte Contas e grupos protegidos no Active Directory.

Você precisa examinar as permissões efetivas atribuídas a essa conta do AD DS. Pode ser difícil e propenso a erros fazer isso examinando ACLs existentes e a atribuição de grupos. Uma abordagem mais fácil é selecionar um conjunto de contas privilegiadas do AD locais existentes e usar o recurso Permissões Efetivas do Windows para determinar se a conta do AD DS tem a permissão Redefinir Senha em relação às contas selecionadas. Para obter informações sobre como usar o recurso Permissões Efetivas, consulte Verificar se o Azure AD Connect tem a permissão necessária para o Write-back de senha.

Observação

Você poderá ter mais de uma conta do AD DS para avaliar se estiver sincronizando várias florestas do AD locais usando o Azure AD Connect.

Etapas de correção

Atualize para a última versão (1.1.553.0) do Azure AD Connect, que pode ser baixada daqui. Recomendamos que você faça isso mesmo que sua organização não tenha sido afetada no momento. Para obter informações sobre como atualizar o Azure AD Connect, consulte Azure AD Connect: saiba como atualizar de uma versão anterior para a mais recente.

A última versão do Azure AD Connect resolve esse problema bloqueando a solicitação de Write-back de senha para contas privilegiadas do AD locais, a menos que o Administrador do Azure AD solicitante seja o proprietário da conta do AD local. Mais especificamente, quando o Azure AD Connect recebe uma solicitação de Write-back de senha do Azure AD:

  • Ele verifica se a conta do AD local de destino é uma conta privilegiada, validando o atributo AD adminCount. Se o valor for nulo ou 0, o Azure AD Connect concluirá que essa não é uma conta privilegiada e permitirá a solicitação de Write-back de senha.
  • Se o valor não for nulo ou 0, o Azure AD Connect concluirá que essa é uma conta privilegiada. Em seguida, ele validará se o usuário solicitante é o proprietário da conta do AD local de destino. Ele faz isso verificando a relação entre a conta do AD local de destino e a conta do Azure AD do usuário solicitante em seu Metaverso. Se o usuário solicitante for de fato o proprietário, o Azure AD Connect permitirá a solicitação de Write-back de senha. Caso contrário, a solicitação será rejeitada.

Observação

O atributo adminCount é gerenciado pelo processo SDProp. Por padrão, o SDProp é executado a cada 60 minutos. Portanto, pode demorar até uma hora até que o atributo adminCount de uma conta de usuário privilegiada do AD recém-criada seja atualizada de NULL para 1. Até que isso aconteça, um administrador do Azure AD ainda poderá redefinir a senha dessa conta recém-criada. Para obter informações sobre o processo SDProp, consulte Contas e grupos protegidos no Active Directory.

Etapas de mitigação

Se você não puder atualizar imediatamente para a última versão do "Azure AD Connect", considere as seguintes opções:

  • Se a conta do AD DS for membro de um ou mais grupos privilegiados do AD locais, considere a remoção da conta do AD DS dos grupos.
  • Se um administrador do AD local tiver criado anteriormente Direitos de Acesso ao Controle no objeto adminSDHolder da conta do AD DS que permitam a operação Redefinir Senha, considere sua remoção.
  • Nem sempre pode ser possível remover as permissões existentes concedidas à conta do AD DS (por exemplo, a conta do AD DS depende da associação a um grupo para as permissões necessárias para outros recursos, como Sincronização de senha ou write-back híbrido do Exchange). Considere a criação de um ACE DE NEGAÇÃO no objeto adminSDHolder que não permita a conta do AD DS com a permissão Redefinir Senha. Para obter informações sobre como criar um ACE DE NEGAÇÃO usando a ferramenta DSACLS do Windows, consulte Modificar o contêiner AdminSDHolder.

    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"
    

Página gerada em 2017-06-27 09:50-07:00.