В облачном сервисе Microsoft Azure Active Directory Connect выявлена уязвимость, позволяющая злоумышленникам перехватывать пароли к локальным аккаунтам, а точнее, устанавливать их без ведома владельцев самих аккаунтов. Об этом сообщила сама корпорация. Azure Active Directory (Azure AD) — многопользовательский облачный каталог и служба управления удостоверениями Microsoft. Она предоставляет системным администраторам возможность давать сотрудникам и деловым партнерам компании доступ на основе единого входа к тысячами облачных приложений SaaS — Office 365, Salesforce.com, DropBox и Concur. Уязвимость кроется в функции под названием "обратная запись паролей". Она позволяет записывать пароли Azure AD обратно в локальный каталог, чтобы упростить процедуру переустановки пароля и дать пользователям возможность менять локальные и облачные пароли одновременно. Функция позволяет осуществлять сброс паролей из среды Office365 и также разрешает администраторам давать команду на сброс локального пароля к AD из портала Azure. Microsoft рекомендует обновить Azure AD Connect до версии 1.1.553.0. В этой версии запросы на обратную запись паролей к локальным привилегированным аккаунтам блокируются, если запрашивающий их администратор не является непосредственным владельцем локального аккаунта. Как указывается в бюллетене безопасности Microsoft, если функция обратной записи пароля некорректно сконфигурирована, у злоумышленников появляется гипотетическая возможность перехватывать новые пароли. Чтобы активировать функцию обратной записи пароля, у Azure AD Connect должно быть разрешение на переустановку пароля в локальных аккаунтах пользователей AD. При установке такого разрешения, локальный пользователь AD с администраторскими полномочиями может случайно выдать Azure AD Connect разрешение на сброс пароля к локальным привилегированным аккаунтам, в том числе уровня Enterprise и Domain Administrator. "Такую конфигурацию использовать не рекомендуется, поскольку в этом случае у потенциально злонамеренного администратора Azure AD появляется возможность переустанавливать пароли к произвольным локальным привилегированным аккаунтам на известные ему величины, используя обратную запись пароля. Это, в свою очередь, позволяет злонамеренному администратору получать привилегированный доступ к локальным аккаунтам пользователей", — указывают в Microsoft.
www.CNews.ru