資安業(yè)者Preempt於本周公布了位於微軟Azure AD Connect中的權(quán)限擴(kuò)張漏洞，將會偷偷賦予使用者網(wǎng)域管理權(quán)限，舉凡是同時使用Microsoft Office 365云端服務(wù)及Active Directory就地部署軟體的企業(yè)都可能被波及。

　　Active Directory（AD）為Windows網(wǎng)域的目錄管理服務(wù)，它能處理企業(yè)中的各種網(wǎng)路物件，從使用者、電腦、郵件到網(wǎng)域控制等，而Azure AD Connect即是用來連結(jié)就地部署的AD與云端的Office 365，以進(jìn)行密碼同步。

　　Preempt是在檢查客戶網(wǎng)路時，發(fā)現(xiàn)有高達(dá)85%的使用者擁有不必要的管理權(quán)限，盡管AD的稽核系統(tǒng)只要發(fā)現(xiàn)權(quán)限擴(kuò)張問題便會提出警告，但經(jīng)常會跳過由自主存取控制名單（DACL）配置直接提升的權(quán)限。進(jìn)一步檢驗(yàn)則發(fā)現(xiàn)Azure AD Connect在AD網(wǎng)域服務(wù)（AD DS）同步帳號（MSOL）的預(yù)設(shè)配置有所缺陷，才會產(chǎn)生這些地下管理員。

　　Preempt指出，Azure密碼同步被當(dāng)作是Azure AD就地部署的延伸，以同步就地部署及云端間的密碼，因此它需要網(wǎng)域復(fù)制權(quán)限來提取密碼，這就是問題所在。

　　權(quán)限管理是確保企業(yè)安全的手法之一，確保企業(yè)員工擁有可執(zhí)行任務(wù)的最少權(quán)限，在AD中，可藉由將使用者納入預(yù)先設(shè)定好的安全小組中以賦予他們網(wǎng)域管理權(quán)限。然而，上述的地下管理員并非屬於任何安全小組。

　　因此，這群地下管理員既不受規(guī)范，卻具備網(wǎng)域管理權(quán)限，得以變更其他使用者的密碼，還有機(jī)會成為駭客入侵企業(yè)網(wǎng)路的跳板。

　　微軟也在本周發(fā)表了相關(guān)的安全通報，并釋出PowerShell腳本程式，藉由調(diào)整AD DS帳號的權(quán)限來變更其同步帳號屬性。