Microsoft parchea una vulnerabilidad en Azure Active Directory Connect

Microsoft ha advertido a los administradores de sistemas que verifiquen sus configuraciones Azure Active Directory Connect e implementen un parche contra una vulnerabilidad de gestión de credenciales.

La vulnerabilidad se encuentra en una característica de Active Directory (AD) denominada ‘password writeback’ que logra configurar Azure AD para copiar las contraseñas de usuario en un entorno AD local.

‘Password writeback’ está diseñada para simplificar los restablecimientos de contraseña, permitiendo a los usuarios cambiar sus contraseñas locales y en la nube simultáneamente. Es compatible con los restablecimientos de Office365 y permite a los administradores forzar un restablecimiento desde el portal Azure a un entorno AD on premise (local).

De acuerdo con Microsoft, si está mal configurado, puede ser vulnerable a atacantes que fuercen un restablecimiento para tener acceso a la nueva contraseña de un usuario.

“Al configurar el permiso, un administrador de AD local puede haber otorgado sin darse cuenta el permiso de Azure AD Connect de restablecer contraseña sobre los privilegios de las cuentas AD on premise (incluidas las cuentas de administrador de empresas y dominios)”, se ha explicado desde la compañía.

De esta forma, un administrador cloud malicioso puede forzar los restablecimientos de las cuentas AD on premise, incluidas las de administración a nivel de usuario, y conducir a una contraseña elegida por el atacante. Esto se escribiría de nuevo en el entorno local de la víctima.

Microsoft ha parcheado el problema con una actualización de Azure AD Connect.

Rosalía Rozalén

Periodista especializada en Tecnología desde hace más de una década. Primero informando sobre el canal de distribución, después sobre las grandes corporaciones y ahora hacia un enfoque más IT Pro. Apasionada de la comunicación con la revolución social media que estamos viviendo.

Recent Posts

“A los españoles les cuesta desconectar durante las vacaciones”

Un 68 % consulta correos electrónicos en momentos de descanso, lo que evita su desconexión…

2 horas ago

Vuelven los premios al emprendimiento tecnológico de NTT DATA FOUNDATION

El ganador de los eAwards España recibirá 20.000 euros, acceso a un programa de aceleración…

2 horas ago

Los ingresos por SMS comerciales ralentizan su crecimiento

En 2024 solamente aumentarán un 5 %, cuando el año pasado habían crecido un 23…

3 horas ago

Philips amplía su familia de monitores E1 Line

Entre los nuevos lanzamientos se encuentra el modelo 27E1N1600AE con conectividad USB-C y soporte de…

4 horas ago

Logitech diseña teclados para espacios que comparten tareas profesionales y personales

Presenta el teclado Signature Slim K950 Wireless, el Signature Slim Combo y el Signature Slim…

4 horas ago

Check Point Software mejora Infinity IA Copilot con tecnología de Microsoft

Aprovecha el servicio Microsoft Azure OpenAI para reforzar esfuerzos contra las crecientes amenazas de seguridad.

5 horas ago