Microsoft 보안 공지 4033453

Azure AD Connect의 취약성으로 인한 권한 상승 문제

게시된 날짜: 2017년 6월 27일

버전: 1.0

Microsoft는 중요한 보안 취약성을 해결하는 새 버전의 Azure AD(Active Directory) Connect를 사용할 수 있음을 고객에게 알리기 위해 이 보안 공지를 발표합니다.

이 업데이트는 Azure AD Connect 비밀번호 쓰기 저장이 사용하도록 설정하는 동안 잘못 구성되는 경우 권한 상승을 허용할 수 있는 취약성을 해결합니다. 이 취약성을 악용하는 데 성공한 공격자는 암호를 다시 설정하고 임의의 온-프레미스 AD 권한 있는 사용자 계정에 무단으로 액세스할 수 있습니다.

최신 버전(1.1.553.0)의 Azure AD Connect에서는 온-프레미스 AD 권한 있는 사용자 계정에 대한 임의의 암호 다시 설정을 허용하지 않음으로써 이 문제가 해결되었습니다.

비밀번호 쓰기 저장은 Azure AD Connect의 구성 요소로, 사용자는 이를 통해 Azure AD가 사용자의 온-프레미스 Active Directory에 암호를 다시 쓰도록 구성할 수 있습니다. 또한 편리한 클라우드 기반 방식으로 현재 위치에 관계없이 자신의 온-프레미스 암호를 재설정할 수도 있습니다. 비밀번호 쓰기 저장에 대한 자세한 내용은 비밀번호 쓰기 저장 개요를 참조하세요.

비밀번호 쓰기 저장을 사용하도록 설정하려면 온-프레미스 AD 사용자 계정에 대한 암호 다시 설정 권한을 Azure AD Connect에 부여해야 합니다. 사용 권한을 설정할 때 온-프레미스 AD 관리자가 온-프레미스 AD 권한 있는 계정(엔터프라이즈 및 도메인 관리자 계정 포함)에 대한 암호 다시 설정 권한을 Azure AD Connect에 실수로 부여했을 수도 있습니다. AD 권한 있는 사용자 계정에 대한 자세한 내용은 Active Directory의 보호된 계정 및 그룹을 참조하세요.

이 구성은 악의적인 Azure AD 관리자가 비밀번호 쓰기 저장을 사용하여 임의의 온-프레미스 AD 사용자 권한 계정의 암호를 알려진 암호 값으로 다시 설정할 수 있도록 하기 때문에 권장되지 않습니다. 또한 이를 통해 악의적인 Azure AD 관리자가 고객의 온-프레미스 AD에 권한을 기반으로 액세스할 수 있게 됩니다.

CVE-2017-8613(영문) - Azure AD Connect 권한 상승 취약성 참조

조직이 영향을 받는지 여부 확인

이 문제는 Azure AD Connect에서 비밀번호 쓰기 저장 기능을 사용하도록 설정한 고객에게만 영향을 미칩니다. 기능이 사용하도록 설정되어 있는지 확인하려면:

  1. Azure AD Connect 서버에 로그인합니다.
  2. Azure AD Connect 마법사를 시작합니다(시작 → Azure AD Connect).
  3. 시작 화면에서 구성을 클릭합니다.
  4. 작업 화면에서 현재 구성 보기를 선택하고 다음을 클릭합니다.
  5. 동기화 설정에서 비밀번호 쓰기 저장이 사용하도록 설정되어 있는지 확인합니다.

Mt803213.EB9A43C32235251CEBA30763CA023255(ko-KR,Security.10).png 

 

비밀번호 쓰기 저장이 사용하도록 설정되어 있으면 Azure AD Connect 서버에 온-프레미스 AD 권한 있는 계정에 대한 암호 다시 설정 권한이 부여되어 있는지 평가합니다. Azure AD Connect에서는 AD DS 계정을 사용하여 변경 내용을 온-프레미스 AD와 동기화합니다. 온-프레미스 AD를 통해 암호 다시 설정 작업을 수행하는 데에도 이와 동일한 AD DS 계정이 사용됩니다. 사용되는 AD DS 계정을 식별하려면:

  1. Azure AD Connect 서버에 로그인합니다.
  2. Synchronization Service Manager를 시작합니다(시작 → 동기화 서비스).
  3. 커넥터 탭에서 온-프레미스 AD 커넥터를 선택하고 속성을 클릭합니다.

     

    Mt803213.DB61E87568D302355369B23FC0475F46(ko-KR,Security.10).png 

  4. 속성 대화 상자에서 Active Directory 포리스트에 연결 탭을 선택하고 사용자 이름 속성을 기록해 둡니다. 이는 Azure AD Connect에서 디렉터리 동기화를 수행하는 데 사용되는 AD DS 계정입니다.

Mt803213.BD84BA8E1D6EF8D03644EA75D5C15A1C(ko-KR,Security.10).png 



Azure AD Connect에서 온-프레미스 AD 권한 있는 계정에 대해 비밀번호 쓰기 저장을 수행하려면 AD DS 계정에 이러한 계정에 대한 암호 다시 설정 권한을 부여해야 합니다. 이는 일반적으로 온-프레미스 AD 관리자가 다음 중 하나를 수행한 경우에 발생합니다.

  • AD DS 계정을 온-프레미스 AD 권한 있는 그룹의 구성원으로 만든 경우(예: 엔터프라이즈 관리자 또는 도메인 관리자 그룹) 또는
  • adminSDHolder 컨테이너에서 AD DS 계정에 암호 다시 설정 권한을 부여하는 제어 액세스 권한을 만든 경우 adminSDHolder 컨테이너가 온-프레미스 AD 권한 있는 계정 액세스에 영향을 미치는 방식에 대한 자세한 내용은 Active Directory의 보호된 계정 및 그룹을 참조하세요.

이 AD DS 계정에 할당된 유효한 권한을 검사해야 합니다. 이를 위해 기존 ACL 및 그룹 할당을 검사하는 일은 까다롭고 오류에 취약할 수 있습니다. 좀 더 쉬운 방법은 일련의 기존 온-프레미스 AD 권한 있는 계정을 선택하고 Windows 유효 사용 권한 기능을 활용하여 AD DS 계정에 이러한 선택된 계정에 대한 암호 다시 설정 권한이 있는지 확인하는 것입니다. 유효 사용 권한 기능을 사용하는 방법에 대한 자세한 내용은 Azure AD Connect에 비밀번호 쓰기 저장에 필요한 권한이 있는지 확인을 참조하세요.


Mt803213.note(ko-KR,Security.10).gif참고:
Azure AD Connect를 사용하여 여러 온-프레미스 AD 포리스트를 동기화하는지 여부를 평가할 AD DS 계정이 두 개 이상일 수도 있습니다.

교정 단계

최신 버전(1.1.553.0)의 Azure AD Connect로 업그레이드합니다. 최신 버전은 여기서(영문) 다운로드할 수 있습니다. 조직이 현재 이 문제의 영향을 받지 않더라도 이렇게 하는 것이 좋습니다. Azure AD Connect를 업그레이드하는 방법에 대한 자세한 내용은 Azure AD Connect: 이전 버전을 최신 버전으로 업그레이드하는 방법 알아보기를 참조하세요.

최신 버전의 AD DS Connect는 요청하는 Azure AD 관리자가 온-프레미스 AD 계정의 소유자인 경우를 제외하고 온-프레미스 AD 권한 있는 계정에 대한 비밀번호 쓰기 저장 요청을 차단하는 방식으로 이 문제를 해결합니다. 좀 더 구체적으로 설명하면, Azure AD Connect는 Azure AD로부터 비밀번호 쓰기 저장 요청을 수신하는 경우 다음을 수행합니다.

  • AD adminCount 특성의 유효성을 검사하여 대상 온-프레미스 AD 계정이 권한 있는 계정인지 확인합니다. 값이 Null 또는 0인 경우 Azure AD Connect는 이 계정이 권한 있는 계정이 아닌 것으로 결론짓고 비밀번호 쓰기 저장 요청을 허용합니다.
  • 값이 Null 또는 0이 아닌 경우 Azure AD Connect는 이 계정이 권한 있는 계정인 것으로 결론을 내립니다. 그런 다음 요청하는 사용자가 대상 온-프레미스 AD 계정 소유자인지 확인합니다. 이를 위해 해당 메타버스에서 대상 온-프레미스 AD 계정과 요청하는 사용자의 Azure AD 계정 간의 관계를 확인합니다. 요청하는 사용자가 소유자인 경우 Azure AD Connect는 비밀번호 쓰기 저장 요청을 허용합니다. 그렇지 않은 경우 요청이 거부됩니다.

Mt803213.note(ko-KR,Security.10).gif참고:
adminCount 특성은 SDProp 프로세스를 통해 관리됩니다. 기본적으로 SDProp은 60분마다 실행됩니다. 따라서 새로 만든 AD 권한 있는 사용자 계정의 adminCount 특성이 NULL에서 1로 업데이트되기 전까지 최대 1시간이 소요될 수 있습니다. 업데이트가 완료되기 전까지는 Azure AD 관리자가 새로 만든 이 계정의 암호를 여전히 다시 설정할 수 있습니다. SDProp 프로세스에 대한 자세한 내용은 Active Directory의 보호된 계정 및 그룹을 참조하세요.


완화 단계

최신 “Azure AD Connect” 버전으로 바로 업그레이드할 수 없는 경우 다음 옵션을 고려해 보세요.

  • AD DS 계정이 하나 이상의 온-프레미스 AD 권한 있는 그룹에 속해 있는 경우 그룹에서 AD DS 계정을 제거하는 것이 좋습니다.
  • 온-프레미스 AD 관리자가 AD DS 계정의 adminSDHolder 개체에서 암호 다시 설정 작업을 허용하는 제어 액세스 권한을 이전에 만든 경우 이를 제거하는 것이 좋습니다.
  • 경우에 따라 AD DS 계정에 부여된 기존 권한을 제거하지 못할 수도 있는데, AD DS 계정이 암호 동기화 또는 Exchange 하이브리드 쓰기 저장 같은 다른 기능에 필요한 사용 권한에 그룹 구성원 자격을 활용하는 경우를 예로 들 수 있습니다. adminSDHolder 개체에서 암호 다시 설정 권한이 있는 AD DS 계정을 허용하지 않는 DENY ACE를 만드는 것이 좋습니다. Windows DSACLS(영문) 도구를 사용하여 DENY ACE를 만드는 방법에 대한 자세한 내용은 AdminSDHolder 컨테이너 수정(영문)을 참조하세요.

DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

2016년 6월 27일 09:50-07:00에 페이지가 생성되었습니다.
표시: