云端Azure AD Connect含有权限扩张漏洞，微软连忙释出修补

资安业者Preempt于本周公布了位于微软Azure AD Connect中的权限扩张漏洞，将会偷偷赋予使用者网域管理权限，举凡是同时使用Microsoft Office 365云端服务及Active Directory就地部署软件的企业都可能被波及。

Active Directory（AD）为Windows网域的目录管理服务，它能处理企业中的各种网络物件，从使用者、电脑、邮件到网域控制等，而Azure AD Connect即是用来连结就地部署的AD与云端的Office 365，以进行密码同步。

Preempt是在检查客户网络时，发现有高达85%的使用者拥有不必要的管理权限，尽管AD的稽核系统只要发现权限扩张问题便会提出警告，但经常会跳过由自主存取控制名单（DACL）配置直接提升的权限。进一步检验则发现Azure AD Connect在AD网域服务（AD DS）同步账号（MSOL）的预设配置有所缺陷，才会产生这些地下管理员。

Preempt指出，Azure密码同步被当作是Azure AD就地部署的延伸，以同步就地部署及云端间的密码，因此它需要网域复制权限来提取密码，这就是问题所在。

权限管理是确保企业安全的手法之一，确保企业员工拥有可执行任务的最少权限，在AD中，可借由将使用者纳入预先设定好的安全小组中以赋予他们网域管理权限。然而，上述的地下管理员并非属于任何安全小组。

因此，这群地下管理员既不受规范，却具备网域管理权限，得以变更其他使用者的密码，还有机会成为骇客入侵企业网络的跳板。

微软也在本周发表了相关的安全通报，并释出PowerShell脚本程式，借由调整AD DS账号的权限来变更其同步账号属性。

资安公司Preempt也发布了一个攻击手法说明影片