Недоработка в механизме распределения прав в ПО Microsoft Azure AD Connect позволяет администратору самовольно расширить привилегии учетной записи и получить неавторизованный полный доступ в пределах всей корпоративной сети.

Данную проблему обнаружили эксперты Preempt Security; по их словам, она касается организаций, развернувших Microsoft Office 365 и осуществивших экспресс-установку ПО Azure AD Connect для связи локального каталога Active Directory с облачными AD-службами.

Как пояснил Роман Блахман (Roman Blachman), технический директор и сооснователь Preempt, ошибка в реализации Azure AD Connect позволяет доверенным пользователям домена с ограниченными или временными привилегиями, такими как возможность смены паролей или добавления пользователей в административные группы, самовольно расширять свои права.

По его словам, существует ряд сценариев, в которых «теневые администраторы» могут расширить свои полномочия в пределах домена. Один из таких способов состоит в том, что оператор технической поддержки (или «теневой администратор») самовольно меняет пароль администратора домена в рамках своих скромных привилегий по управлению паролями. Далее он входит в систему как администратор домена и наделяет собственный профиль новыми полномочиями в корпоративной сети.

«Таким образом, оператор техподдержки, обеспечив себе полные права администратора, сможет воспроизвести доменные пароли всех пользователей и скомпрометировать любую учетную запись в домене, — пояснил Блахман. — Оператор с ограниченным доступом в итоге становится администратором всего домена».

При другом сценарии администратор с ограниченными привилегиями, позволяющими добавлять и убирать пользователей из административных групп, может попросту внести себя в группу с более широкими привилегиями.

Чтобы неавторизованные изменения дольше оставались незамеченными, теневой администратор может избрать своей целью учетную запись MSOnline (MSOL), которая была создана в службе Active Directory, используемой для синхронизации. «Такие (служебные) учетные записи зачастую меньше контролируются, чем полноценные аккаунты администратора домена, хотя у них сравнительно широкие привилегии», — отметил Блахман в блоге Preempt.

«Представьте себе рядового сотрудника отдела поддержки, который может лишь сбрасывать пароли неадминистративных учетных записей и не обладает какими-либо другими полномочиями администратора домена. Поскольку MSOL-аккаунт находится в контейнере Built-in Users, а участники группы Built-in Account Operators (например, персонал поддержки) могут сбрасывать пароли в пределах контейнера Built-in Users, это де-факто дает оператору учетных записей полный доступ к доменным паролям и другие высокие привилегии (к примеру, администратора домена)», — пишет исследователь.

«Затем теневой администратор сможет войти в Azure AD Connect и изменить настройки учетной записи, чтобы все работало правильно и никто не узнал, что учетная запись изменялась», — заключил Блахман.   

Компания Microsoft, со своей стороны, выпустила информационный бюллетень и вместо патча предлагает скрипт PowerShell, корректирующий разрешения в существующих учетных записях службы Active Directory. Компания также заверила, что только что выпущенная хотфикс-версия Azure AD Connect (1.1.654.0) и все последующие будут вносить соответствующие изменения в новые AD-аккаунты автоматически.

 

Категории: Уязвимости