圖片來源: 

preempt

資安業者Preempt於本周公布了位於微軟Azure AD Connect中的權限擴張漏洞,將會偷偷賦予使用者網域管理權限,舉凡是同時使用Microsoft Office 365雲端服務及Active Directory就地部署軟體的企業都可能被波及。

Active Directory(AD)為Windows網域的目錄管理服務,它能處理企業中的各種網路物件,從使用者、電腦、郵件到網域控制等,而Azure AD Connect即是用來連結就地部署的AD與雲端的Office 365,以進行密碼同步。

Preempt是在檢查客戶網路時,發現有高達85%的使用者擁有不必要的管理權限,儘管AD的稽核系統只要發現權限擴張問題便會提出警告,但經常會跳過由自主存取控制名單(DACL)配置直接提升的權限。進一步檢驗則發現Azure AD Connect在AD網域服務(AD DS)同步帳號(MSOL)的預設配置有所缺陷,才會產生這些地下管理員。

Preempt指出,Azure密碼同步被當作是Azure AD就地部署的延伸,以同步就地部署及雲端間的密碼,因此它需要網域複製權限來提取密碼,這就是問題所在。

權限管理是確保企業安全的手法之一,確保企業員工擁有可執行任務的最少權限,在AD中,可藉由將使用者納入預先設定好的安全小組中以賦予他們網域管理權限。然而,上述的地下管理員並非屬於任何安全小組。

因此,這群地下管理員既不受規範,卻具備網域管理權限,得以變更其他使用者的密碼,還有機會成為駭客入侵企業網路的跳板。

微軟也在本周發表了相關的安全通報,並釋出PowerShell腳本程式,藉由調整AD DS帳號的權限來變更其同步帳號屬性。

資安公司Preempt也發布了一個攻擊手法說明影片

熱門新聞

Advertisement