微软 Office 365 被曝存在秘密管理员账户(已修复)
翻译:360代码卫士团队
不在保护组之列的权限管理员账户被称为“秘密管理员”,后者受到的保护和监控措施更少,可引发严重的安全风险。
Preempt 安全公司的研究团队在混合部署/Azure 微软 Office 365 (O365) 部署中发现了一个自动生成的秘密管理员账户。
权限提升涉及获得或使用权限管理员账户的权限,因此管理员账户应当得到更好的保护。Preempt 安全公司的首席执行官兼联合创始人 Ajit Sancheti表示,“组织机构为管理员设定了明确的分组,以便更好地进行监控和保护。但有时候用户的账户未被归类于管理员分组就获得了管理员权限,也就是成为‘秘密管理员’。”
研究人员发现在正常使用微软的Azure AD Connect服务时创建了一个秘密管理员账户。AD Connect 工具供组织机构在混合部署和云Office 365部署中使用。它集成了含有 Azure AD 的部署活动目录,以便用户在整个使用过程中拥有共同身份。
对AD Connect 的默认明确使用创建微软On Line账户 (MSOL),该账户拥有域管理员权限但不在任何受保护的管理分组范围;也就是说,它位于内置的用户分组中。为了同步预置账户和云,它能够复制域。
Preempt安全公司首席技术官和联合创始人Roman Blachman表示,“多数活动目录审计系统对过多权限发出警告,但常常漏掉间接经由 DACL 配置获得提升域权限的用户。我们将这类用户称之为‘秘密管理员’。我们的多数用户都部署了Office 365而且几乎每个人都易受这类攻击,因为Azure AD Connect 安装在明确的设置中而创造了这个缺陷。”
任何拥有访问用户账户的人或者‘恶意’员工都能借此获得访问 MSOL 账户的权限并获得高级别的域权限。‘恶意’员工可以是技术支持员工,他/她是域用户但同时也是实现功能目的的账户运营人员。技术支持员工属于供应链而且拥有直接且合法访问用户账户以及拥有域级别权限账户的权限。如技术员工的账户遭攻陷或者只是恶意账户,那么技术支持的账户就能通过 MSOL 账户访问域名中的每个管理员账户。由于 MSOL 账户并非位于受保护的管理员分组中,它不会遭追踪或者受监控,而如果该账户遭攻击者利用,则不会触发应当出现的报警信息。
Preempt安全公司将问题告知微软,后者发布了安全公告并予以修复。安全公告指出,“假设一个恶意预置 AD 管理员拥有访问消费者预置 AD 的有限权限但拥有对AD DS 账户的密码重置权限。这个恶意管理员能将AD DS 账户的密码重置为已知的密码值,从而导致恶意管理员获得访问消费者预置 AD 的未授权权限。”
微软的解决方案是,改进了Azure AD Connect 的性能,确保它所创建的账户在未来会有推荐权限。对于已经使用AD Connect的用户而言,微软指出可以使用Prepare Active Directory Forest 和 Domains for Azure AD Connect Sync中的PowerShell脚本执行AD DS账户中的权限更改。
微软发布的修复方案并非是对已有实现的补丁。微软将更新AD Connect以便未来不会引发秘密 MSOL 账户的问题。对于现有的实现而言,它会发布脚本以便找到并将 MSOL 账户迁移到安全位置。
然而,值得注意的是,MSOL 账户并非网络中唯一的秘密管理员账户。虽然微软发布的修复方案将检测 MSOL 秘密管理员账户,它不会解决其他秘密管理员账户的问题。
Sancheti表示,经常在产品中发现存在5到100个秘密管理员账户。鉴于活动目录的复杂性,很常见的一种情况是一个账户会获得访问另外一个账户的权限,而且不会意识到在这个过程中会悄悄继承哪些权限。该公司开发并发布了一款免费工具 Preempt Inspector,用于检测所有的秘密账户。这些账户通常是通过配置错误而创建的,从而为网络带来潜在风险。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/stealthy-admin-accounts-found-hybrid-office-365-deployments