Microsoft предупредила, что уязвимость в ее облачном сервисе позволяет путать пароли
Корпорация Microsoft настоятельно рекомендует системным администраторам компаний, использующих облачный сервис Azure, настройки конфигурации облака и установить патч против уязвимости, позволяющей переустанавливать пароли локальным пользователям без их ведома.
Уязвимость в Microsoft Azure
В облачном сервисе Microsoft Azure Active Directory Connect выявлена уязвимость, позволяющая злоумышленникам перехватывать пароли к локальным аккаунтам, а точнее, устанавливать их без ведома владельцев самих аккаунтов. Об этом сообщила сама корпорация.
Azure Active Directory (Azure AD) — многопользовательский облачный каталог и служба управления удостоверениями Microsoft. Она предоставляет системным администраторам возможность давать сотрудникам и деловым партнерам компании доступ на основе единого входа к тысячами облачных приложений SaaS — Office 365, Salesforce.com, DropBox и Concur.
Уязвимость кроется в функции под названием «обратная запись паролей». Она позволяет записывать пароли Azure AD обратно в локальный каталог, чтобы упростить процедуру переустановки пароля и дать пользователям возможность менять локальные и облачные пароли одновременно. Функция позволяет осуществлять сброс паролей из среды Office365 и также разрешает администраторам давать команду на сброс локального пароля к AD из портала Azure.
Microsoft рекомендует обновить Azure AD Connect до версии 1.1.553.0.
В этой версии запросы на обратную запись паролей к локальным привилегированным аккаунтам блокируются, если запрашивающий их администратор не является непосредственным владельцем локального аккаунта.
В чем именно проблема
Как указывается в бюллетене безопасности Microsoft, если функция обратной записи пароля некорректно сконфигурирована, у злоумышленников появляется гипотетическая возможность перехватывать новые пароли.
Чтобы активировать функцию обратной записи пароля, у Azure AD Connect должно быть разрешение на переустановку пароля в локальных аккаунтах пользователей AD. При установке такого разрешения, локальный пользователь AD с администраторскими полномочиями может случайно выдать Azure AD Connect разрешение на сброс пароля к локальным привилегированным аккаунтам, в том числе уровня Enterprise и Domain Administrator.
«Такую конфигурацию использовать не рекомендуется, поскольку в этом случае у потенциально злонамеренного администратора Azure AD появляется возможность переустанавливать пароли к произвольным локальным привилегированным аккаунтам на известные ему величины, используя обратную запись пароля. Это, в свою очередь, позволяет злонамеренному администратору получать привилегированный доступ к локальным аккаунтам пользователей», — указывают в Microsoft.