Last updated
Daar is verskillende maniere waarop 'n masjien aan die wolk gekoppel kan wees:
In Azure AD is daar verskillende tipes tokens met spesifieke beperkings:
Toegangstokens: Gebruik om API's en bronne soos die Microsoft Graph te benader. Hulle is gekoppel aan 'n spesifieke kliënt en bron.
Vernuwingsleutels: Uitgereik aan aansoeke om nuwe toegangstokens te verkry. Hulle kan slegs deur die aansoek gebruik word waarvoor hulle uitgereik is of 'n groep aansoeke.
Primêre Vernuwingsleutels (PRT): Gebruik vir Enkel Aanmelding op Azure AD gekoppelde, geregistreerde, of hibried gekoppelde toestelle. Hulle kan gebruik word in blaaiaanmeldingsvloei en vir aanmelding by mobiele en lessenaarprogramme op die toestel.
Die mees interessante tipe token is die Primêre Vernuwingsleutel (PRT).
Az - Primary Refresh Token (PRT)Vanaf die gekompromitteerde masjien na die wolk:
Stuur die Koekie: Steel Azure-koekies uit die blaaier en gebruik dit om aan te meld
Hengel Primêre Vernuwingsleutel: Hengel die PRT om dit te misbruik
Stuur die PRT: Steel die toestel PRT om toegang tot Azure te verkry deur dit te impersoneer.
Stuur die Sertifikaat: Skep 'n sertifikaat gebaseer op die PRT om van die een masjien na die ander aan te meld
Vanaf die AD wat gekompromitteer is na die Wolk en vanaf die Wolk na die kompromittering van AD:
'n Ander manier om van die wolk na Op-Prem te pivoteer is Intune misbruik
Hierdie instrument maak dit moontlik om verskeie aksies uit te voer soos die registreer van 'n masjien in Azure AD om 'n PRT te verkry, en gebruik PRT's (wettig of gesteel) om bronne op verskeie verskillende maniere te benader. Dit is nie direkte aanvalle nie, maar dit fasiliteer die gebruik van PRT's om bronne op verskillende maniere te benader. Vind meer inligting by https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/
