マイクロソフト セキュリティ アドバイザリ 4033453

Azure AD Connect の脆弱性により特権が昇格される

公開日: 2017 年 6 月 28 日

バージョン: 1.0

マイクロソフトは、重要なセキュリティの脆弱性を解決する新しいバージョンの Azure Active Directory (AD) Connect が利用可能になったことをお客様にお知らせするために、このセキュリティ アドバイザリを公開しました。

この更新プログラムは、Azure AD Connect のパスワード ライトバックを有効化する際に正しく構成されなかった場合に特権が昇格される脆弱性を解決します。攻撃者がこの脆弱性を悪用した場合、パスワードをリセットし、任意のオンプレミス AD の特権ユーザー アカウントに不正にアクセスする可能性があります。

この問題は、Azure AD Connect の最新バージョン (1.1.553.0) にて、オンプレミス AD の特権ユーザー アカウントに対する任意のパスワード リセットを許可しないことで解決されています。

パスワード ライトバックとは、Azure AD Connect のコンポーネントです。 これを使用して、ユーザーはパスワードをオンプレミスの Active Directory に書き戻すよう Azure AD を構成することができます。パスワード ライトバックは、ユーザーがどこにいても、便利なクラウドベースの方法で自分のオンプレミスのパスワードをリセットできる方法を提供します。パスワード ライトバックの詳細については、「パスワード ライトバックの概要」を参照してください。

パスワード ライトバックを有効化するには、オンプレミス AD のユーザー アカウントに対してパスワードをリセットする権限を Azure AD Connect に付与する必要があります。権限を設定する時に、オンプレミス AD 管理者が意図せずオンプレミス AD の特権アカウントに対してもパスワード リセット権限 (エンタープライズ管理者およびドメイン管理者のアカウントを含む) を Azure AD Connect に付与する可能性があります。AD の特権ユーザー アカウントの詳細については、「保護されているアカウントとActive Directory内のグループ」を参照してください。

この設定は、悪意のある Azure AD 管理者がパスワード ライトバックを利用して、任意のオンプレミス AD の特権ユーザー アカウントのパスワードを既知のパスワード値に書き換えることを可能にするため推奨されません。これにより、悪意のある Azure AD 管理者がお客様のオンプレミス AD に特権アクセスを得る可能性があります。

CVE-2017-8613 - Azure AD Connect の特権の昇格の脆弱性 を参照してください。

組織への影響の有無を確認する

Azure AD Connect でパスワード ライトバック機能を有効化したお客様のみが、この問題の影響を受けます。機能が有効化されているかどうかを確認するには、以下を実行します。

  1. Azure AD Connect サーバーにログインします。
  2. Azure AD Connect ウィザード を起動します ([スタート] メニュー → [Azure AD Connect])。
  3. [Welcome] 画面で、[Configure] をクリックします。
  4. [Tasks] 画面で、[View current configuration] を選択し、[Next] を選択します。
  5. [Synchronization Settings]で、Password Writeback が有効化されているかを確認します。

Mt803213.EB9A43C32235251CEBA30763CA023255(ja-JP,Security.10).png 

 

パスワード ライトバックが有効化されている場合、使用している Azure AD Connect サーバーにオンプレミス AD の特権アカウントに対するパスワード リセット権限が付与されているかどうかを評価します。Azure AD Connect は、オンプレミス AD と変更を同期する際に AD DS アカウントを使用します。オンプレミス AD でパスワード リセットの操作が行われる時も、同じ AD DS アカウントが使用されます。どの AD DS アカウントが使用されているかを特定するには、以下を実行します。

  1. Azure AD Connect サーバーにログインします。
  2. Synchronization Service Manager を起動します ([スタート]メニュー → [Synchronization Service])。
  3. [Connectors] タブで、オンプレミスの AD コネクタ を選択し、[Properties] を選択します。

     

    Mt803213.DB61E87568D302355369B23FC0475F46(ja-JP,Security.10).png 

  4. [Properties] ダイアログで、[Connect to Active Directory Forest] タブに移動し、[User name] プロパティの内容を書き留めます。 これが Azure AD Connect がディレクトリ同期を実施する際に使用する AD DS アカウントです。

Mt803213.BD84BA8E1D6EF8D03644EA75D5C15A1C(ja-JP,Security.10).png 



Azure AD Connect がオンプレミス AD の特権アカウントに対してパスワード ライトバックが実施されるには、AD DS アカウントにオンプレミス AD の特権アカウントに対するパスワード リセット権限が付与されている必要があります。この状況は、オンプレミス AD 管理者が以下のいずれかの作業を実施した場合に起こります。

  • AD DS アカウントをオンプレミス AD の特権グループ メンバーとして追加した場合 (例えば、エンタープライズ管理者、またはドメイン管理者のグループ)
  • またはその AD DS アカウントにパスワード リセット権限を付与するよう AdminSDHolder コンテナーに Control Access Rights を作成した場合。AdminSDHolder コンテナーがオンプレミス AD の特権アカウントへのアクセスに影響を与える方法の詳細については、「保護されているアカウントとActive Directory内のグループ」を参照してください。

この AD DS アカウントに割り当てられている有効な権限を検証する必要があります。 既存の ACL とグループ割り当てを検証するのは難しく、エラーが発生する可能性があります。より簡単なアプローチとしては、既存のオンプレミス AD の特権アカウントのセットを選び、Windows の [有効なアクセス] 機能を使用して AD DS アカウントが選択されたアカウントに対してパスワード リセット権限を持っているかどうかを確認する方法があります。有効なアクセスの使用方法の詳細については、「Verify whether Azure AD Connect has the required permission for Password writeback」 (英語情報) を参照してください。


Mt803213.note(ja-JP,Security.10).gif注:
Azure AD Connect を使用して複数のオンプレミス AD フォレストを同期している場合、2 つ以上の AD DS アカウントを検証する必要がある可能性があります。

改善手段

こちらからダウンロード可能な Azure AD Connect の最新バージョン (1.1.553.0) にアップグレードしてください。現在、組織が影響を受けていない場合でも、アップグレードを推奨します。Azure AD Connect をアップグレードする方法の詳細については、「Azure AD Connect: 旧バージョンから最新バージョンにアップグレードする」を参照してください。

最新バージョンの Azure AD Connect は、オンプレミス AD の特権アカウントに対するパスワード ライトバック要求が、オンプレミス AD アカウントのオーナーである Azure AD 管理者から出されたものでない限り、その要求をブロックすることでこの問題を解決します。すなわち、Azure AD Connect が Azure AD からパスワード ライトバック要求を受け取った場合、

  • 対象のオンプレミス AD アカウントの AD adminCount 属性を検証することにより、それが特権アカウントであるかどうかを確認します。その値が Null または 0 の場合、Azure AD Connect はそれが特権アカウントではないと判断し、パスワード ライトバック要求を許可します。
  • その値が Null または 0 ではない場合、Azure AD Connect はそれが特権アカウントであると判断します。次に、要求したユーザーが対象のオンプレミス AD アカウントのオーナーであるかどうかを検証します。検証するには、対象のオンプレミス AD アカウントと、要求したユーザーの Azure AD アカウントの関係をメタバースで確認します。要求したユーザーがオーナーの場合、Azure AD Connect はパスワード ライトバック要求を許可します。そうではない場合、要求は拒否されます。

Mt803213.note(ja-JP,Security.10).gif注:
adminCount 属性は、SDProp プロセスによって管理されています。既定では、SDProp プロセスは 60 分に 1 回実行されます。そのため、新しく作成された AD の特権ユーザー アカウントの adminCount 属性が NULL から 1 に更新されるまで、1 時間かかる場合があります。更新されるまでは、Azure AD 管理者はこの新しく作成されたアカウントのパスワードをリセットすることができます。SDProp プロセスの詳細については、「保護されているアカウントとActive Directory内のグループ」を参照してください。


問題の緩和策

すぐに最新バージョンの Azure AD Connect にアップグレードできない場合は、次のオプションを検討します。

  • AD DS アカウントが 1 つまたは複数のオンプレミス AD の特権グループのメンバーの場合、グループからその AD DS アカウントを削除することを検討してください。
  • オンプレミス AD 管理者が以前、パスワード リセット操作を許可するよう AD DS アカウントに AdminSDHolder オブジェクトに Control Access Rights を作成した場合、それを削除することを検討してください。
  • AD DS アカウントに付与された既存の権限を削除することが必ずしも可能ではない場合があります (例えば、AD DS アカウントがパスワード同期や Exchange ハイブリッドのパスワード ライトバックなどの他の機能に必要な権限を持つグループ メンバーシップに依存する場合など)。その場合は AdminSDHolder オブジェクトに DENY ACE を作成し、パスワード リセット権限を持つ AD DS アカウントを拒否することを検討してください。Windows の DSACLS ツールを使用して、DENY ACE を作成する方法については、「Modify the AdminSDHolder container」 (英語情報) を参照してください。

DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Page generated 2017-06-27 09:50-07:00.
表示: