miércoles, 28 de junio de 2017

Elevación de privilegios en Azure Active Directory

Microsoft ha publicado un aviso de seguridad por la publicación de una nueva versión de Azure Active Directory (AD) Connect para corregir una vulnerabilidad de elevación de privilegios considerada como importante.

El problema, con CVE-2017-8613, consiste en una elevación de privilegios si la opción de escritura diferida de contraseñas ("writeback password") está mal configurada durante la habilitación. Un atacante que explote esta vulnerabilidad con éxito podría restablecer las contraseñas y obtener acceso no autorizado a cualquier cuenta privilegiada de usuarios locales del directorio activo.

La escritura diferida de contraseñas le permite configurar Azure AD para que escriba contraseñas en diferido en Active Directory local. Esto elimina la necesidad de configurar y administrar una solución de restablecimiento de contraseña y ofrece una manera conveniente basada en la nube para que los usuarios restablezcan sus contraseñas locales dondequiera que estén.

Para habilitar la escritura diferida de contraseñas, Azure AD Connect debe tener permiso de restablecer contraseña en las cuentas de usuario de AD locales. Al configurar el permiso, un administrador de AD local puede haber otorgado inadvertidamente el permiso de Azure AD Connect con la opción Restablecer contraseña a las cuentas privilegiadas de AD locales (incluidas las cuentas de administrador de empresa y dominio). Para obtener información acerca de las cuentas de usuario privilegiadas de AD, consulte Cuentas y grupos protegidos en Active Directory. 

El problema solo afecta a los usuarios que hayan habilitado la característica de recuperación de contraseñas ("writeback password") en Azure AD Connect. En el servidor Azure AD Connect, START → Azure AD Connect, Configurar, en la pantalla de tareas seleccionar Ver la configuración actual y bajo la configuración de sincronización comprobar la opción "Password Writeback".



El problema está corregido en la última versión de Azure AD Connect (1.1.553.0) al no permitir el restablecimiento arbitrario de contraseñas en las cuentas privilegiadas de usuarios locales de AD. La nueva versión se encuentra disponible desde:

Más Información:

Microsoft Security Advisory 4033453
Vulnerability in Azure AD Connect Could Allow Elevation of Privilege



Antonio Ropero

Twitter: @aropero