資安業(yè)者Preempt於本周公布了位於微軟Azure AD Connect中的權(quán)限擴張漏洞,將會偷偷賦予使用者網(wǎng)域管理權(quán)限,舉凡是同時使用Microsoft Office 365云端服務(wù)及Active Directory就地部署軟體的企業(yè)都可能被波及。
Active Directory(AD)為Windows網(wǎng)域的目錄管理服務(wù),它能處理企業(yè)中的各種網(wǎng)路物件,從使用者、電腦、郵件到網(wǎng)域控制等,而Azure AD Connect即是用來連結(jié)就地部署的AD與云端的Office 365,以進行密碼同步。
Preempt是在檢查客戶網(wǎng)路時,發(fā)現(xiàn)有高達85%的使用者擁有不必要的管理權(quán)限,盡管AD的稽核系統(tǒng)只要發(fā)現(xiàn)權(quán)限擴張問題便會提出警告,但經(jīng)常會跳過由自主存取控制名單(DACL)配置直接提升的權(quán)限。進一步檢驗則發(fā)現(xiàn)Azure AD Connect在AD網(wǎng)域服務(wù)(AD DS)同步帳號(MSOL)的預(yù)設(shè)配置有所缺陷,才會產(chǎn)生這些地下管理員。
Preempt指出,Azure密碼同步被當作是Azure AD就地部署的延伸,以同步就地部署及云端間的密碼,因此它需要網(wǎng)域復(fù)制權(quán)限來提取密碼,這就是問題所在。
權(quán)限管理是確保企業(yè)安全的手法之一,確保企業(yè)員工擁有可執(zhí)行任務(wù)的最少權(quán)限,在AD中,可藉由將使用者納入預(yù)先設(shè)定好的安全小組中以賦予他們網(wǎng)域管理權(quán)限。然而,上述的地下管理員并非屬於任何安全小組。
因此,這群地下管理員既不受規(guī)范,卻具備網(wǎng)域管理權(quán)限,得以變更其他使用者的密碼,還有機會成為駭客入侵企業(yè)網(wǎng)路的跳板。
微軟也在本周發(fā)表了相關(guān)的安全通報,并釋出PowerShell腳本程式,藉由調(diào)整AD DS帳號的權(quán)限來變更其同步帳號屬性。
