Comunicado de Segurança da Microsoft 4033453

Vulnerabilidade no Azure AD Connect pode permitir elevação de privilégio

Publicado em: 27 de junho de 2017

Versão: 1.0

Resumo executivo

A Microsoft está lançando este comunicado de segurança para informar aos clientes que uma nova versão do Azure Active Directory (AD) Connect está disponível que aborda uma vulnerabilidade de segurança importante.

A atualização elimina uma vulnerabilidade que pode permitir a elevação de privilégio se o write-back de senha do Azure AD Connect estiver configurado incorretamente durante a habilitação. O invasor que explorar com êxito essa vulnerabilidade poderá redefinir senhas e obter acesso não autorizado a contas de usuário privilegiadas arbitrárias do AD local.

O problema é resolvido na versão mais recente (1.1.553.0) do Azure AD Connect ao não permitir a redefinição arbitrária de senha para contas de usuário privilegiado do AD local.

Detalhes do Comunicado

O write-back de senha é um componente do Azure AD Connect. Ele permite que os usuários configurem o Azure AD para gravar senhas de volta em seu Active Directory local. Ele fornece uma maneira conveniente baseada em nuvem para os usuários redefinirem suas senhas locais onde quer que estejam. Para obter informações sobre write-back de senha, consulte Visão geral de write-back de senha.

Para habilitar o write-back de senha, o Azure AD Connect deve receber a permissão Redefinir Senha sobre as contas de usuário do AD local. Ao configurar a permissão, um Administrador do AD local pode ter concedido inadvertidamente a permissão do Azure AD Connect com Redefinição de Senha sobre contas privilegiadas do AD local (incluindo contas Enterprise e Administrador de Domínio). Para obter informações sobre contas de usuário privilegiadas do AD, consulte Contas e grupos protegidos no Active Directory.

Essa configuração não é recomendada porque permite que um administrador mal-intencionado do Azure AD redefina a senha de uma conta privilegiada de usuário local arbitrária do AD para um valor de senha conhecido usando write-back de senha. Isso, por sua vez, permite que o administrador mal-intencionado do Azure AD obtenha acesso privilegiado ao AD local do cliente.

Consulte CVE-2017-8613 - Vulnerabilidade de elevação de privilégio do Azure AD Connect

Ações sugeridas

Verificar se sua organização é afetada

Esse problema afeta apenas os clientes que habilitaram o recurso de write-back de senha no Azure AD Connect. Para determinar se o recurso está habilitado:

1. Faça logon no servidor do Azure AD Connect.
2. Inicie o assistente do Azure AD Connect (START → Azure AD Connect).
3. Na tela de Boas-Vindas, clique em Configurar.
4. Na tela Tarefas, selecione Exibir configuração atual e clique em Avançar.
5. Em Configurações de Sincronização, verifique se o Write-back de Senha está habilitado.

Se o write-back de senha estiver habilitado, avalie se o servidor do Azure AD Connect recebeu a permissão Redefinir Senha em contas privilegiadas do AD local. O Azure AD Connect usa uma conta do AD DS para sincronizar as alterações com o AD local. A mesma conta do AD DS é usada para executar a operação de redefinição de senha com o AD local. Para identificar qual conta do AD DS é usada:

1. Faça logon no servidor do Azure AD Connect.
2. Inicie o Gerenciador de Serviços de Sincronização (Iniciar → Serviço de Sincronização).
3. Na guia Conectores, selecione o Conector AD local e clique em Propriedades.

4. Na caixa de diálogo Propriedades, selecione a guia Conectar à Floresta do Active Directory e anote a propriedade Nome de usuário. Essa é a conta de AD DS usada pelo Azure AD Connect para executar a sincronização de diretório.

Para que o Azure AD Connect execute write-back de senha em contas privilegiadas do AD local, a conta do AD DS deve receber a permissão Redefinir Senha sobre essas contas. Isso geralmente acontece se um administrador do AD local tiver:

• Tornou a conta do AD DS membro de um grupo privilegiado do AD local (por exemplo, grupo Administradores Corporativos ou Administradores de Domínio), OU
• Direitos de acesso de controle criados no contêiner adminSDHolder que concede à conta do AD DS a permissão Redefinir senha. Para obter informações sobre como o contêiner adminSDHolder afeta o acesso a contas privilegiadas do AD local, consulte Contas e grupos protegidos no Active Directory.

Você precisa examinar as permissões efetivas atribuídas a essa conta do AD DS. Pode ser difícil e propenso a erros fazer isso examinando ACLs existentes e atribuição de grupo. Uma abordagem mais fácil é selecionar um conjunto de contas privilegiadas do AD local existentes e usar o recurso Permissões Efetivas do Windows para determinar se a conta do AD DS tem permissão Redefinir Senha sobre essas contas selecionadas. Para obter informações sobre como usar o recurso Permissões Efetivas, consulte Verificar se o Azure AD Connect tem a permissão necessária para write-back de senha.

Etapas de correção

Atualize para a versão mais recente (1.1.553.0) do Azure AD Connect, que pode ser baixada aqui. Recomendamos que você faça isso mesmo que sua organização não seja afetada no momento. Para obter informações sobre como atualizar o Azure AD Connect, consulte Azure AD Connect: Saiba como atualizar de uma versão anterior para a mais recente.

A versão mais recente do Azure AD Connect resolve esse problema bloqueando a solicitação de write-back de senha para contas privilegiadas do AD local, a menos que o Administrador do Azure AD solicitante seja o proprietário da conta do AD local. Mais especificamente, quando o Azure AD Connect recebe uma solicitação de write-back de senha do Azure AD:

• Ele verifica se a conta do AD local de destino é uma conta privilegiada validando o atributo adminCount do AD. Se o valor for null ou 0, o Azure AD Connect concluirá que essa não é uma conta privilegiada e permitirá a solicitação de write-back de senha.
• Se o valor não for nulo ou 0, o Azure AD Connect concluirá que essa é uma conta privilegiada. Em seguida, ele valida se o usuário solicitante é o proprietário da conta do AD local de destino. Ele faz isso verificando a relação entre a conta do AD local de destino e a conta do Azure AD do usuário solicitante em seu Metaverso. Se o usuário solicitante for realmente o proprietário, o Azure AD Connect permitirá a solicitação de write-back de senha. Caso contrário, a solicitação é rejeitada.

Etapas de mitigação

Se você não conseguir atualizar imediatamente para a versão mais recente do "Azure AD Connect", considere as seguintes opções:

• Se a conta do AD DS for membro de um ou mais grupos privilegiados do AD local, considere remover a conta do AD DS dos grupos.
• Se um administrador do AD local tiver criado anteriormente Direitos de Acesso de Controle no objeto adminSDHolder para a conta do AD DS que permite a operação Redefinir Senha, considere removê-lo.
• Nem sempre é possível remover as permissões existentes concedidas à conta do AD DS (por exemplo, a conta do AD DS depende da associação de grupo para obter as permissões necessárias para outros recursos, como sincronização de senha ou write-back híbrido do Exchange). Considere a criação de uma ACE DENY no objeto adminSDHolder que não permite a conta do AD DS com a permissão Redefinir Senha. Para obter informações sobre como criar um DENY ACE usando a ferramenta Windows DSACLS , consulte Modificar o contêiner AdminSDHolder.

    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Página gerada em 27/06/2017 09:50-07:00.