Microsoft ha publicado un aviso de seguridad por la
publicación de una nueva versión de Azure Active Directory (AD) Connect para
corregir una vulnerabilidad de elevación de privilegios considerada como
importante.
El problema, con CVE-2017-8613, consiste en una elevación
de privilegios si la opción de escritura diferida de contraseñas
("writeback password") está mal configurada durante la habilitación.
Un atacante que explote esta vulnerabilidad con éxito podría restablecer las
contraseñas y obtener acceso no autorizado a cualquier cuenta privilegiada de usuarios
locales del directorio activo.
La escritura diferida de contraseñas le permite
configurar Azure AD para que escriba contraseñas en diferido en Active
Directory local. Esto elimina la necesidad de configurar y administrar una
solución de restablecimiento de contraseña y ofrece una manera conveniente
basada en la nube para que los usuarios restablezcan sus contraseñas locales
dondequiera que estén.
Para habilitar la escritura diferida de contraseñas,
Azure AD Connect debe tener permiso de restablecer contraseña en las cuentas de
usuario de AD locales. Al configurar el permiso, un administrador de AD local
puede haber otorgado inadvertidamente el permiso de Azure AD Connect con la
opción Restablecer contraseña a las cuentas privilegiadas de AD locales
(incluidas las cuentas de administrador de empresa y dominio). Para obtener
información acerca de las cuentas de usuario privilegiadas de AD, consulte
Cuentas y grupos protegidos en Active Directory.
El problema solo afecta a los usuarios que
hayan habilitado la característica de recuperación de contraseñas
("writeback password") en Azure AD Connect. En el servidor Azure AD
Connect, START → Azure AD Connect,
Configurar, en la pantalla de tareas seleccionar Ver la configuración actual y
bajo la configuración de sincronización comprobar la opción "Password
Writeback".
El problema está corregido en la última versión de Azure
AD Connect (1.1.553.0) al no permitir el restablecimiento arbitrario de
contraseñas en las cuentas privilegiadas de usuarios locales de AD. La nueva
versión se encuentra disponible desde
Más Información:
Microsoft
Security Advisory 4033453. Vulnerability in Azure AD Connect Could Allow
Elevation of Privilege. https://technet.microsoft.com/library/security/4033453.aspx
Fuente: Hispasec.com