Предупреждение об уязвимости в Azure AD Connect
Корпорация Microsoft выпустила бюллетень безопасности и настоятельно рекомендует системным администраторам компаний, использующих облачный сервис Azure, установить патч против уязвимости, позволяющей переустанавливать пароли локальным пользователям без их ведома.
Azure Active Directory (Azure AD) — многопользовательский облачный каталог и служба управления удостоверениями Microsoft. Она предоставляет системным администраторам возможность давать сотрудникам и деловым партнерам компании доступ на основе единого входа к тысячами облачных приложений SaaS — Office 365, Salesforce.com, DropBox и Concur.
Уязвимость кроется в функции под названием «обратная запись паролей». Она позволяет записывать пароли Azure AD обратно в локальный каталог, чтобы упростить процедуру переустановки пароля и дать пользователям возможность менять локальные и облачные пароли одновременно. Функция позволяет осуществлять сброс паролей из среды Office365 и также разрешает администраторам давать команду на сброс локального пароля к AD из портала Azure. Microsoft рекомендует обновить Azure AD Connect до версии 1.1.553.0.
В этой версии запросы на обратную запись паролей к локальным привилегированным аккаунтам блокируются, если запрашивающий их администратор не является непосредственным владельцем локального аккаунта. Чтобы активировать функцию обратной записи пароля, у Azure AD Connect должно быть разрешение на переустановку пароля в локальных аккаунтах пользователей AD.