资安业者Preempt於本周公布了位於微软Azure AD Connect中的权限扩张漏洞,将会偷偷赋予使用者网域管理权限,举凡是同时使用Microsoft Office 365云端服务及Active Directory就地部署软体的企业都可能被波及。
Active Directory(AD)为Windows网域的目录管理服务,它能处理企业中的各种网路物件,从使用者、电脑、邮件到网域控制等,而Azure AD Connect即是用来连结就地部署的AD与云端的Office 365,以进行密码同步。
Preempt是在检查客户网路时,发现有高达85%的使用者拥有不必要的管理权限,尽管AD的稽核系统只要发现权限扩张问题便会提出警告,但经常会跳过由自主存取控制名单(DACL)配置直接提升的权限。进一步检验则发现Azure AD Connect在AD网域服务(AD DS)同步帐号(MSOL)的预设配置有所缺陷,才会产生这些地下管理员。
Preempt指出,Azure密码同步被当作是Azure AD就地部署的延伸,以同步就地部署及云端间的密码,因此它需要网域复制权限来提取密码,这就是问题所在。
权限管理是确保企业安全的手法之一,确保企业员工拥有可执行任务的最少权限,在AD中,可藉由将使用者纳入预先设定好的安全小组中以赋予他们网域管理权限。然而,上述的地下管理员并非属於任何安全小组。
因此,这群地下管理员既不受规范,却具备网域管理权限,得以变更其他使用者的密码,还有机会成为骇客入侵企业网路的跳板。
微软也在本周发表了相关的安全通报,并释出PowerShell脚本程式,藉由调整AD DS帐号的权限来变更其同步帐号属性。
