資安業(yè)者Preempt於本周公布了位於微軟Azure AD Connect中的權限擴張漏洞,將會(huì )偷偷賦予使用者網(wǎng)域管理權限,舉凡是同時(shí)使用Microsoft Office 365云端服務(wù)及Active Directory就地部署軟體的企業(yè)都可能被波及。
Active Directory(AD)為Windows網(wǎng)域的目錄管理服務(wù),它能處理企業(yè)中的各種網(wǎng)路物件,從使用者、電腦、郵件到網(wǎng)域控制等,而Azure AD Connect即是用來(lái)連結就地部署的AD與云端的Office 365,以進(jìn)行密碼同步。
Preempt是在檢查客戶(hù)網(wǎng)路時(shí),發(fā)現有高達85%的使用者擁有不必要的管理權限,盡管AD的稽核系統只要發(fā)現權限擴張問(wèn)題便會(huì )提出警告,但經(jīng)常會(huì )跳過(guò)由自主存取控制名單(DACL)配置直接提升的權限。進(jìn)一步檢驗則發(fā)現Azure AD Connect在A(yíng)D網(wǎng)域服務(wù)(AD DS)同步帳號(MSOL)的預設配置有所缺陷,才會(huì )產(chǎn)生這些地下管理員。
Preempt指出,Azure密碼同步被當作是Azure AD就地部署的延伸,以同步就地部署及云端間的密碼,因此它需要網(wǎng)域復制權限來(lái)提取密碼,這就是問(wèn)題所在。
權限管理是確保企業(yè)安全的手法之一,確保企業(yè)員工擁有可執行任務(wù)的最少權限,在A(yíng)D中,可藉由將使用者納入預先設定好的安全小組中以賦予他們網(wǎng)域管理權限。然而,上述的地下管理員并非屬於任何安全小組。
因此,這群地下管理員既不受規范,卻具備網(wǎng)域管理權限,得以變更其他使用者的密碼,還有機會(huì )成為駭客入侵企業(yè)網(wǎng)路的跳板。
微軟也在本周發(fā)表了相關(guān)的安全通報,并釋出PowerShell腳本程式,藉由調整AD DS帳號的權限來(lái)變更其同步帳號屬性。
