Microsoft
ha publicado
un aviso de seguridad por la publicación de una nueva versión de Azure Active
Directory (AD) Connect para corregir una vulnerabilidad de elevación de
privilegios considerada como importante.
El problema, con CVE-2017-8613,
consiste en una elevación de privilegios si la opción de escritura diferida de
contraseñas ("writeback password")
está mal configurada durante la habilitación. Un atacante que explote esta
vulnerabilidad con éxito podría restablecer las contraseñas y obtener acceso no
autorizado a cualquier cuenta privilegiada de usuarios locales del directorio
activo.
La escritura diferida de
contraseñas le permite configurar Azure AD para que escriba contraseñas en
diferido en Active Directory local. Esto elimina la necesidad de configurar y
administrar una solución de restablecimiento de contraseña y ofrece una manera
conveniente basada en la nube para que los usuarios restablezcan sus
contraseñas locales dondequiera que estén.
Para habilitar la escritura
diferida de contraseñas, Azure AD Connect debe tener permiso de restablecer
contraseña en las cuentas de usuario de AD locales. Al configurar el permiso,
un administrador de AD local puede haber otorgado inadvertidamente el permiso
de Azure AD Connect con la opción Restablecer contraseña a las cuentas
privilegiadas de AD locales (incluidas las cuentas de administrador de empresa
y dominio). Para obtener información acerca de las cuentas de usuario
privilegiadas de AD, consulte Cuentas y grupos protegidos en Active
Directory.
El problema solo afecta a los
usuarios que hayan habilitado la característica de recuperación de contraseñas ("writeback password") en Azure AD
Connect. En el servidor Azure AD Connect, START → Azure AD Connect, Configurar,
en la pantalla de tareas seleccionar Ver la configuración actual y bajo la
configuración de sincronización comprobar la opción "Password Writeback".
El problema está corregido en la última
versión de Azure AD Connect (1.1.553.0) al no permitir el restablecimiento arbitrario
de contraseñas en las cuentas privilegiadas de usuarios locales de AD. La nueva
versión se encuentra disponible desde:
Más Información:
Microsoft Security Advisory 4033453
Vulnerability in Azure AD Connect Could Allow
Elevation of Privilege
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario