Dans son bulletin de sécurité 4022353, Microsoft présente une vulnérabilité de sécurité de son service d’annuaire Active Directory qui pourrait permettre une élévation de privilèges grâce à une mauvaise configuration d’Azure AD Connect.

La reprise de mots de passe (password writeback) est une fonctionnalité d’Azure Active Directory Connect qui permet de configurer Active Directory pour que les mots de passe soient répliqués dans l’ Active Directory interne.

Azure AD Connect - Password Writeback

Azure AD Connect – Password Writeback

C’est un moyen de faciliter la réinitialisation des mots de passe internes des utilisateurs, de n’importe où, à l’aide d’un service dans le nuage informatique.

Pour que cela soit possible, Azure AD Connect doit avoir la permission ‘password writeback’ pour les comptes utilisateurs de l’annuaire interne. En attribuant cette permission, un administrateur peut avoir attribué par inadvertance cette permission à des comptes privilégiés, comme ceux des administrateurs d’entreprise ou de domaine.

Typiquement, cela arrive si le compte AD DS a été rendu membre d’un groupe local privilégie de l’active directory, comme celui des administrateurs de domaines ou celui des administrateurs d’entreprise, ou si un droit d’accès avec permission de réinitialiser les mots de passe pour le compte AD DS a été créé sur le conteneur adminSDHolder.

Cette configuration n’est pas recommandée, car un administrateur malicieux pourrait l’exploiter afin de réinitialiser le mot de passe d’un compte privilégié interne vers un mot de passe connu (celui réinitialisé dans le nuage), et donc de s’arroger des droits privilégiés sur le service d’annuaire interne.

Les administrateurs sont donc invités à vérifier si le service a été mal configuré, et le cas échéant à corriger la configuration.

Microsoft a mis à jour Azure AD Connect. La dernière version, 1.1.553.0 bloquera automatiquement les demandes de réplication des mots de passe des comptes privilégiés, sauf si l’administrateur d’Azure AD Connect est également le propriétaire du compte local Active Directory.

L’installation de cette version la plus récente est fortement recommandée, même si l’entreprise n’est pas affectée en ce moment.