Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Riziko které Office365 DirSync vnáší automaticky do každé domény s RODC
srpen 05
Riziko které Office365 DirSync vnáší automaticky do každé domény s RODC

V červenci jsem dělal bezpečnostní audit jedné větší AD infrastruktury a jen tak mimochodem jsem objevil jednu velmi nepříjemnou věc. Vzniklo to v kombinaci RODC a Office365 DirSync nástroje. A byla to věc pekelně nepříjemná. Dokonce jsem to reportoval do MS, ale pánové to na security bouletin nepovažovali. Tvrdí, že předchozí kompromitace účtu (prior account compromise) nerovná se bezpečnostní zranitelnost (security vulnerability). Já taky ne.

Já si totiž myslím, že pokud instalační program Office365 DirSync sám takovou kompromitaci způsobuje, tak to je spíš pěkný průser.

Office365 DirSync a MSOL_ účet

DirSync pro Office365 je nástroj, který umí synchronizovat parametry uživatelských účtů z on-premisses Active Directory do Office365 Azure AD. Umí také vycucávat heše (hash) hesel přímo z AD a zapisovat je na účty v Office365 AAD, takže uživatelé mají stejné heslo jak v on-premisses tak v cloudu. A to může být právě ten kámen úrazu.

DirSync je ve skutečnosti FIM (Forefront Identity Manager) ořezaný o téměř všechny management agenty, takže umí pouze cucat z AD a z AAD. K tomu, aby mohl stahovat data z Active Directory používá uživatelský účet, kterému se musí na úrovni domény přidělit oprávnění (permission) pro replikaci.

Pokud nesynchronizujete hesla, stačí mu Replicate Directory Changes. To ho opravňuje, aby si stáhnul všechno z AD databáze, kromě tajný informací. Nemůže si stáhnou heše hesel, ani jiné confidential atributy. Confidentia attribute jsou třeba privátní klíče certifikátů při zapnutém Credentials Roamingu - msPKIAccountCredentials, nebo tajné údaje k TPM a BitLockeru - msTPM-OwnerInformation, nebo msFVE-RecoveryPassword a msFVE-KeyPackage, a nebo KDS klíče v atributech msKds-RootKeyData.

Pokud není synchronizace hesel, tak mu stačí jen v podstatě veřejné informace. To je ok.

Ale pokud děláte synchronizaci hesel, tak jeho replikační účet musí mít Replicate Directory Changes All oprávnění (permission). To si potom může stáhnout celý obsah AD. To zahrnuje heše hesel členů Domain Admins. To zahrnuje také heše účtu krbtgt, pomocí kterých se generují Kerberos tikety.

Pokud by se někomu podařilo získat heslo (nebo heš) k takovému DirSync účtu, stal by se okamžitě pánem celého AD forestu. Pomocí hash krbtgt účtu by si mohl vytvářet "zlaté Kerberos tikety" a pomocí hash účtů Domain Admins z libovolné jediné domény celého forestu by se stal pánem celého forestu.

Jen pro pořádek uveďme, že oprávnění Replicate Directory Changes ani Replicate Directory Changes All neumožňují do AD něco vložit - replikace je vždycky pouze download a žádná "push replikace" neexistuje.

Je tedy jasné, že DirSync účet je potřeba do krve chránit.

Jak k ochraně takového účtu přistupuje DirSync instalační program

Instalace DirSync si prostě takový účet sama vytvoří. Dá mu jméno MSOL_randomnumber a umístí ho nenápadně do CN=Users kontejneru. A neřekne vám o tom ani slovo.

To by ještě tak nevadilo, protože heslo k tomu účtu nezná nikdo jiný, než DirSync - je uloženo v jeho SQL databázi. Jenže opravdu ho nezná nikdo jiný?

A vstupuje do hry RODC

RODC jsou řadiče domény určené do nebezpečných provozů, kde je riziko kompromitace citlivých účtů. Proto se do RODC nereplikují ve výchozím stavu hesla (hash) účetů skupin jako jsou Domain Admins, Enterprise Admins, nebo právě krbtgt účtu. Pokud chcete, aby se tam nějaké účty (přesněji jejich heše) replikovaly, musíte je explicitně vyjmenovat. Můžete také pro některé skupiny explicitně zakázat replikaci. Zákaz je vždy silnější než povolení.

Tomu se říká Password replication policy pro RODC. Existuje skupina, která je ve výchozím stavu vynechána z replikace do RODC. Jmenuje se Denied RODC password replication group. Pokud do ní dáte nějaký účet, tak se jeho heslo (hash) do RODC nereplikuje. Jednoduché a efektivní.

A tady je to kouzlo. Nebo spíš průser. V onom prostředí měli v password replication policy pro jejich několik RODC vloženou skupinu Domain Users. Bezpečnostně to nevadilo, protože všechny citlivé účty měli explicitně zablokované. Takže v RODC byly jen necitlivé účty uživatelů, které tam byly oprávněně. Jistě, to jsem jim vytýkal už dřív, že je lepší tam dát nějakou konkrétní skupinu a ne rovnou Domain Users, ale co už, když blokují striktně ty nebezpečné účty.

Pokud o nich vědí.

Takže jsem zjistil, že se ten DirSync automatický MSOL_randomnumber účet replikuje na všechna jejich RODC. Při kompromitaci libovolného RODC by měli kompromitaci celého forestu.

Proč? Protože ten propracovaný DirSync instalátor vytváří automaticky ultra-super-účet, nikomu o tom neřekne a ani ho nedá do Denied RODC password replication group.

Jak zabezpečit DirSync pro Office365?

Pokud používáte DirSync a synchronizujete hesla, dávejte na to obzvláště pozor. Onen MSOL_somenumber účet je kritický, je roven skupině Domain Admins. Ideálně ho dejte rovnou do Denied RODC password replication group a dávejte na něho zvýšený pozor.

A samozřejmě si uvědomte, že musíte dát slušnou bezpečnost i tomu DirSync serveru. Stejnou, jakou dáváte ostatním řadičům domény (DC, domain controller). Pokud jim nějakou dáváte :-)

Tak dobrý den!

Nějaké moje další článečky o Office365 a DirSync najdete zde a zde například.

Comments

Pecka

Pecka! Na HackerFeste budem demonštrovať zneužitie účtu s právom "Replicating Directory Changes All" k ovládnutiu celého forestu, tak si mi prihral ďalší scenár.
Michael Grafnetter on 5.8.2015 21:37

Re: Riziko které Office365 DirSync vnáší automaticky do každé domény s RODC

Embark on an adventure that not only entertains but also educates,  https://onlyupgame.org/suika-game offering valuable insights, problem-solving skills, and cognitive development that enrich your overall gaming experience. Immerse yourself in a journey of learning and discovery that transcends traditional entertainment.
Suika Game on 28.10.2023 12:02

service  Provider

When you rent Escorts in Delhi. https://www.girlsdelhi.in/ you can be sure that you'll have a lot of fun and enjoyment. When considering the most crucial distraction, true joy can be discovered immediately after selecting the most engaging bliss.
Kaabir Singh on 29.11.2023 8:43

Service

We have the most beautiful and pretty female escorts in Goa. We have practically hundreds of Hot https://www.juliegoaescorts.net.in/. All are accomplished and has a place with such a high-class family foundation. They are similarly upheld by experts and know each aptitude and strategies to provide further happiness during intercourse.
Goa Escorts  on 23.12.2023 11:44

Service

Make memorable moments of your life by hiring lusty and hot 18+ teenage escorts. https://www.goabeachhotels.com/ Tall Goa Escorts are known fir their erotic beauty and entertaining behaviour which attract visitors from all over world. Housewife Escorts will also fulfil your sexual desires to the extreme and will give you enjoyment which you had never experienced before.
Goa Escorts  on 23.12.2023 12:00

Escorts In Goa

Our Goa call girls are available 24/7 and 365 days of a calendar. You can play with their silky hairs, embrace their body, and feel their hot breath and other intimate and https://www.lisadsouza.com/ delicate parts throughout the year. All you have to do is to make a call for booking or browse our website to fix appointment for yourself.
Service on 23.12.2023 12:53

Goa Escorts Service

Our Escorts is the most requested and reliable https://www.modelescortsindelhi.in/ . Here you can rapidly recruit prominent great young call girls. We offer the fieriest escorts young ladies who are consistently prepared to serve their life elements. We comprehend that each man needs a sexual relationship with hot and attractive call young ladies. To finish this wish of each man in Delhi we offer moderate and extravagance Escorts Service in Delhi.
Service  on 23.12.2023 13:22

Delhi Escorts

They can do anything to accomplish your mental and physical satisfaction. Our female escorts are very trained. https://www.bestescorts.in/ They are so trained they give services according to clients desires. You can seduce escorts of Delhi. So come and hang out with the kinky beauty of big boobs call girls
Service on 23.12.2023 13:34

Escorts In Rajouri Garden

A vast majority of them like to spend their staying here in some colourful manner and they all are having different in demands.  https://www.delhibeauties.com/rajouri-garden-call-girls.html is the most significant among them all. To meet the demands of the customer most of the activities and services are emerging here.
Service on 23.12.2023 19:13

Call Girls Noida

All the girls who belong to this Noida escort service are trained and professional.They know how to behave with their men in a private room, in a public place,and on dinner dates.So you don’t need to worry about her behavior whenever she is with you publicly or privately.Our beautiful women belong to reputed families in Noida and Nearby cities.
prince narulax on 10.1.2024 13:34

Call Girls Noida

All the girls who belong to this Noida escort service are trained and professional.They know how to behave with their men in a private room, in a public place,and on dinner dates.So you don’t need to worry about her behavior whenever she is with you publicly or privately.Our beautiful women belong to reputed families in Noida and Nearby cities.
https://www.independentescortsinnoida.org/
prince narulax on 10.1.2024 13:35

Service

If you've planned an escort this time to date, it should always start in the planned way. Most of the people have crazy facts with the Gurgaon Escorts like I'll do this and that. Well, the Gurgaon escort service will definitely give you the power, but even then, you need to bear in mind some specific details that are very much needed for the market.
https://blooder.net/read-blog/48105_gurgaon-escorts-the-most-trusted-escort-service.html
https://famenest.com/read-blog/14068_gurgaon-escorts-0000000000-street-escort-services-in-gurgaon.html
https://globochat.co/read-blog/8239_gurugram-call-girls-100-trusted-escort-girls-in-gurugram.html
https://carbonfacesocial.org/blogs/50309/Gurgaon-Escorts-Services-24-7-VIP-Call-Girls-in-Gurugram
https://www.pickmemo.com/read-blog/267957_gurgaon-call-girls-services-24x7-0000000000.html
prince narulax on 31.1.2024 10:25

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments