Microsoft, Kiritik Azure Active Directory Connect Zafiyeti İçin Uyarıyor
Bildiğiniz gibi Azure AD Connect, şirket içi kimlik altyapısını Microsoft Azure AD’ye bağlamak için kullanılan bir tool. Sihirbaz ile senkronizasyon ve oturum açma da dahil olmak üzere bağlantı için gereken önkoşulları ve bileşenleri dağıtır ve yapılandırır. Azure AD Connect, daha öncesinde Dirsync ve AAD Sync olarak yayınlanan özellikleride büyensinde barındırıyor.
Microsoft yaptığı açıklamada, Azure AD Connect yazılımında zafiyet çıktığını bildirdi. Zafiyet CVE-2021-36949 kodu ile takip edilebilirken istismar edilmesi durumunda kimlik doğrulama atlatılabiliyor. Saldırganların Azure AD Connect sunucunuz ve etki alanı denetleyicisi arasında man in the middle saldırısı yapması gerekiyor ve bu güvenlik açığından yararlanabilmesi için etki alanı kullanıcı kimlik bilgilerine de sahip olması gerekiyor.
Microsoft güncellemelerin vakit kaybetmeden yapılması konusunda kullanıcıları uyarıyor. Güncelleme linkler aşağıdaki gibidir.
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36949
Kaynak: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36949