Lücke in Azure Active Directory Connect verrät Passwörter
Microsoft hat ein wichtiges Sicherheitsupdate für Azure AD Connect veröffentlicht und rät zu einer zügigen Installation.
(Bild: Microsoft)
Mit bestimmten Einstellungen ist Microsofts Synchronisierungsdienst Azure Active Directory Connect verwundbar. Ob davon alle Versionen bedroht sind, ist derzeit nicht bekannt. Microsoft hat die abgesicherte Ausgabe 1.1.553.0 veröffentlicht. Sie stufen die Aktualisierung als "wichtig" ein.
Die Schwachstelle soll eine Fehlkonfiguration der Passwort-Writeback-Option sein. Nur wer diese aktiviert hat, ist Microsoft zufolge gefährdet. Wie man prüft, ob diese Option aktiv ist, steht in der offiziellen Sicherheitswarnung.
Ist sie aktiv, können Nutzer darüber Passwörter aus verschiedenen Anwendungen heraus lokal und in der Cloud zurücksetzen. Über die Schwachstelle soll ein Angreifer in der Rolle eines Azure-AD-Admins Resets von Passwörtern erzwingen und neue Passwörter abfangen können. (des)
