資安業(yè)者Preempt於本周公布了位於微軟Azure AD Connect中的權限擴張漏洞，將會偷偷賦予使用者網域管理權限，舉凡是同時使用Microsoft Office 365云端服務及Active Directory就地部署軟體的企業(yè)都可能被波及。

　　Active Directory（AD）為Windows網域的目錄管理服務，它能處理企業(yè)中的各種網路物件，從使用者、電腦、郵件到網域控制等，而Azure AD Connect即是用來連結就地部署的AD與云端的Office 365，以進行密碼同步。

　　Preempt是在檢查客戶網路時，發(fā)現(xiàn)有高達85%的使用者擁有不必要的管理權限，盡管AD的稽核系統(tǒng)只要發(fā)現(xiàn)權限擴張問題便會提出警告，但經常會跳過由自主存取控制名單（DACL）配置直接提升的權限。進一步檢驗則發(fā)現(xiàn)Azure AD Connect在AD網域服務（AD DS）同步帳號（MSOL）的預設配置有所缺陷，才會產生這些地下管理員。

　　Preempt指出，Azure密碼同步被當作是Azure AD就地部署的延伸，以同步就地部署及云端間的密碼，因此它需要網域復制權限來提取密碼，這就是問題所在。

　　權限管理是確保企業(yè)安全的手法之一，確保企業(yè)員工擁有可執(zhí)行任務的最少權限，在AD中，可藉由將使用者納入預先設定好的安全小組中以賦予他們網域管理權限。然而，上述的地下管理員并非屬於任何安全小組。

　　因此，這群地下管理員既不受規(guī)范，卻具備網域管理權限，得以變更其他使用者的密碼，還有機會成為駭客入侵企業(yè)網路的跳板。

　　微軟也在本周發(fā)表了相關的安全通報，并釋出PowerShell腳本程式，藉由調整AD DS帳號的權限來變更其同步帳號屬性。