Microsoft セキュリティ アドバイザリ 4033453
Azure AD Connect の脆弱性により、特権が昇格される
公開日: 2017 年 6 月 27 日
バージョン: 1.0
概要
Microsoft では、重要なセキュリティの脆弱性に対処する新しいバージョンの Azure Active Directory (AD) Connect が利用可能であることをお客様に通知するために、このセキュリティ アドバイザリをリリースしています。
この更新プログラムは、有効化中に Azure AD Connect パスワード ライトバックが正しく構成されていない場合に特権の昇格を可能にする可能性がある脆弱性を解決します。 攻撃者がこの脆弱性を悪用した場合、パスワードをリセットし、任意のオンプレミス AD 特権ユーザー アカウントに不正アクセスする可能性があります。
この問題は、オンプレミスの AD 特権ユーザー アカウントへの任意のパスワード リセットを許可しないことで、Azure AD Connect の最新バージョン (1.1.553.0) で対処されています。
アドバイザリの詳細
パスワード ライトバックは、Azure AD Connect のコンポーネントです。 これにより、ユーザーは自分のオンプレミスの Active Directoryにパスワードを書き戻す Azure AD を構成できます。 ユーザーがどこにいてもオンプレミスのパスワードをリセットするための便利なクラウドベースの方法が提供されます。 パスワード ライトバックの詳細については、「パスワード ライトバックの概要」を参照してください。
パスワード ライトバックを有効にするには、Azure AD Connect にオンプレミスの AD ユーザー アカウントに対するパスワードのリセットアクセス許可が付与されている必要があります。 アクセス許可を設定するときに、オンプレミスの AD 管理istrator が、オンプレミスの AD 特権アカウント (Enterprise アカウントや Do アカウントを含む) に対するパスワードリセットアクセス許可を持つ Azure AD Connect メイン 管理誤って付与した可能性があります。 AD 特権ユーザー アカウントの詳細については、「Active Directory の保護されたアカウントとグループ」を参照してください。
悪意のある Azure AD 管理istrator がパスワード ライトバックを使用して任意のオンプレミス AD ユーザー特権アカウントのパスワードを既知のパスワード値にリセットできるため、この構成はお勧めしません。 これにより、悪意のある Azure AD 管理istrator が、顧客のオンプレミス AD への特権アクセスを取得できるようになります。
CVE-2017-8613 - Azure AD Connect の特権の昇格の脆弱性に関するページを参照してください
推奨されるアクション
組織が影響を受けるかどうかを確認する
この問題は、Azure AD Connect でパスワード ライトバック機能を有効にしたお客様にのみ影響します。 機能が有効になっているかどうかを確認するには:
- Azure AD Connect サーバーにログインします。
- Azure AD Connect ウィザードを起動します (Start → Azure AD Connect)。
- [ようこそ] 画面で [構成] をクリックします。
- [タスク] 画面で、[現在の構成の表示] を選択し、[次へ] をクリックします。
- 同期設定で、パスワード ライトバックが有効になっているかどうかをチェックします。
パスワード ライトバックが有効になっている場合は、オンプレミスの AD 特権アカウントに対するパスワードのリセットアクセス許可が Azure AD Connect サーバーに付与されているかどうかを評価します。 Azure AD Connect では、AD DS アカウントを使用して、変更をオンプレミスの AD と同期します。 オンプレミス AD でパスワード リセット操作を実行するには、同じ AD DS アカウントが使用されます。 使用されている AD DS アカウントを特定するには:
- Azure AD Connect サーバーにログインします。
- Synchronization Service Manager を起動します (同期サービス→開始します)。
- [コネクタ] タブの下で、オンプレミスの AD コネクタを選択し、[プロパティ] をクリックします。
- [プロパティ] ダイアログ ボックスで、[Active Directory フォレストへの接続] タブを選択し、[ユーザー名] プロパティを書き留めます。 これは、ディレクトリ同期を実行するために、Azure AD Connect によって使用される AD DS アカウントです。
Azure AD Connect がオンプレミスの AD 特権アカウントでパスワード ライトバックを実行するには、AD DS アカウントにこれらのアカウントに対するパスワードリセットアクセス許可が付与されている必要があります。 これは通常、オンプレミスの AD 管理者が次のいずれかを持っている場合に発生します。
- AD DS アカウントをオンプレミスの AD 特権グループ (Enterprise 管理istrators や Doメイン 管理istrators グループなど) のメンバーにしました。
- パスワードのリセットアクセス許可を持つ AD DS アカウントを付与する adminSDHolder コンテナーに対する制御アクセス権を作成しました。 adminSDHolder コンテナーがオンプレミスの AD 特権アカウントへのアクセスにどのように影響するかについては、「Active Directory の保護されたアカウントとグループ」を参照してください。
この AD DS アカウントに割り当てられている有効なアクセス許可を調べる必要があります。 既存の ACL とグループの割り当てを調べることで、困難でエラーが発生しやすい場合があります。 より簡単な方法は、既存のオンプレミス AD 特権アカウントのセットを選択し、Windows の有効なアクセス許可機能を使用して、選択したアカウントに対するパスワードのリセットアクセス許可が AD DS アカウントにあるかどうかを判断することです。 有効なアクセス許可機能の使用方法については、「Azure AD Connect にパスワード ライトバックに必要なアクセス許可があるかどうかを確認する」を参照してください。
Note
Azure AD Connect を使用して複数のオンプレミス AD フォレストを同期するかどうかを評価する複数の AD DS アカウントがある場合があります。
修復ステップ
Azure AD Connect の最新バージョン (1.1.553.0) にアップグレードします。ここからダウンロードできます。 組織が現在影響を受けない場合でも、これを行うことをお勧めします。 Azure AD Connect をアップグレードする方法については、「Azure AD Connect: 以前のバージョンから最新バージョンにアップグレードする方法」を参照してください。
Azure AD Connect の最新バージョンでは、要求する Azure AD 管理istrator がオンプレミス AD アカウントの所有者でない限り、オンプレミス AD 特権アカウントのパスワード ライトバック要求をブロックすることで、この問題に対処しています。 具体的には、Azure AD Connect が Azure AD からパスワード ライトバック要求を受信すると、次のようになります。
- ターゲットのオンプレミス AD アカウントが、AD adminCount 属性を検証することで特権アカウントであるかどうかをチェックします。 値が null または 0 の場合、Azure AD Connect はこれが特権アカウントではなく、パスワード ライトバック要求を許可すると結論付けます。
- 値が null または 0 でない場合、Azure AD Connect はこれが特権アカウントであると結論付けます。 次に、要求するユーザーがターゲットのオンプレミス AD アカウントの所有者であるかどうかを検証します。 これを行う場合は、ターゲットのオンプレミス AD アカウントとそのメタバースの要求ユーザーの Azure AD アカウントの間の関係をチェックします。 要求するユーザーが実際に所有者である場合、Azure AD Connect はパスワード ライトバック要求を許可します。 それ以外の場合、要求は拒否されます。
Note
adminCount 属性は、SDProp プロセスによって管理されます。 既定では、SDProp は 60 分ごとに実行されます。 そのため、新しく作成された AD 特権ユーザー アカウントの adminCount 属性が NULL から 1 に更新されるまでに最大 1 時間かかることがあります。 これが発生するまで、Azure AD 管理者は、この新しく作成されたアカウントのパスワードをリセットできます。 SDProp プロセスの詳細については、「Active Directory の保護されたアカウントとグループ」を参照してください。
軽減の手順
最新の "Azure AD Connect" バージョンにすぐにアップグレードできない場合は、次のオプションを検討してください。
- AD DS アカウントが 1 つ以上のオンプレミス AD 特権グループのメンバーである場合は、グループから AD DS アカウントを削除することを検討してください。
- オンプレミスの AD 管理者が、パスワードのリセット操作を許可する AD DS アカウントの adminSDHolder オブジェクトに対して Control Access Rights を以前に作成した場合は、削除することを検討してください。
- AD DS アカウントに付与されている既存のアクセス許可を必ずしも削除できない場合があります (たとえば、AD DS アカウントは、パスワード同期や Exchange ハイブリッド ライトバックなどの他の機能に必要なアクセス許可をグループ メンバーシップに依存しています)。 パスワードのリセットアクセス許可を持つ AD DS アカウントを許可しない adminSDHolder オブジェクトに DENY ACE を作成することを検討してください。 Windows DSACLS ツールを使用して DENY ACE を作成する方法については、「管理SDHolder コンテナーの変更」を参照してください。
DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"
Page generated 2017-06-27 09:50-07:00.