Last updated
Azure Aansoeke vra vir toestemming om die gebruikerdata te benader (basiese inligting, maar ook toegang tot dokumente, stuur e-posse...).
Indien toegelaat, kan 'n normale gebruiker slegs toestemming verleen vir "Lae Impak" toestemmings. In alle ander gevalle is administratiewe toestemming vereis.
GA, ApplicationAdministrator, CloudApplication Administrator en 'n aangepaste rol wat toestemming verleen om toestemmings aan aansoeke te gee kan huurder-wye toestemming gee.
Slegs toestemmings wat nie administratiewe toestemming benodig word geklassifiseer as lae impak. Dit is toestemmings wat vereis word vir basiese aanmelding soos openid, profiel, e-pos, User.Read en offline_access. Indien 'n organisasie toelaat dat gebruikerstoestemming vir alle aansoeke gegee word, kan 'n werknemer toestemming verleen vir 'n aansoek om bogenoemde van hul profiel te lees.
Daarom kan 'n aanvaller 'n skadelike Aansoek voorberei en met 'n hengelary, die gebruiker die Aansoek laat aanvaar en sy data steel.
Ongeverifieer: Skep 'n aansoek vanaf 'n eksterne rekening met die toestemmings User.Read en User.ReadBasic.All byvoorbeeld, hengel 'n gebruiker, en jy sal in staat wees om gidsinligting te benader.
Dit vereis dat die gehengelde gebruiker in staat moet wees om OAuth-aansoeke vanaf eksterne omgewings te aanvaar!
Geverifieer: Nadat 'n hoof met genoeg voorregte gekompromitteer is, skep 'n aansoek binne die rekening en hengel 'n paar bevoorregte gebruiker wat bevoorregte OAuth-toestemmings kan aanvaar.
In hierdie geval kan jy reeds die inligting van die gids benader, dus is die toestemming User.ReadBasic.All nie meer interessant nie.
Jy is waarskynlik belangstel in toestemmings wat 'n administrateur vereis om hulle te verleen, omdat 'n rou gebruiker geen OAuth-aansoeke enige toestemming kan gee nie, daarom moet jy slegs daardie gebruikers hengel (meer oor watter rolle/toestemmings hierdie voorreg verleen later)
Die volgende PowerShell-opdrag word gebruik om die toestemmingskonfigurasie vir gebruikers in Azure Active Directory (Azure AD) te kontroleer met betrekking tot hul vermoë om toestemming te verleen vir aansoeke:
Deaktiveer gebruikersgoedkeuring: Hierdie instelling verbied gebruikers om toestemming te verleen aan aansoeke. Geen gebruikersgoedkeuring vir aansoeke word toegelaat nie.
Gebruikers kan toestemming gee vir programme van geverifieerde uitgewers of jou organisasie, maar slegs vir toestemmings wat jy kies: Hierdie instelling laat alle gebruikers toe om slegs toestemming te gee vir aansoeke wat deur 'n geverifieerde uitgewer gepubliseer is en aansoeke wat in jou eie huurder geregistreer is. Dit voeg 'n beheerlaag by deur slegs toestemming toe te staan vir spesifieke toestemmings.
Gebruikers kan toestemming gee vir alle programme: Hierdie instelling is meer inskiklik en laat alle gebruikers toe om toestemming te gee vir enige toestemmings vir aansoeke, solank daardie toestemmings nie administratiewe toestemming vereis nie.
Aangepaste aansoektoestemmingsbeleid: Hierdie instelling dui aan dat 'n aangepaste beleid van krag is, wat op spesifieke organisatoriese vereistes toegespits kan word en 'n kombinasie van beperkings gebaseer op die aansoekuitgewer, die toestemmings wat die aansoek versoek, en ander faktore mag behels.
In 'n illegitieme toestemmingverleningsaanval, mislei aanvallers eindgebruikers om toestemming te verleen aan 'n kwaadwillige aansoek wat by Azure geregistreer is. Dit word gedoen deur die aansoek as legitiem te laat voorkom, wat slagoffers onbewus lei om op 'n "Aanvaar" knoppie te klik. As gevolg hiervan reik Azure AD 'n token uit na die aanvaller se webwerf, wat hulle in staat stel om toegang te verkry tot en die slagoffer se data te manipuleer, soos die lees of stuur van e-posse en die toegang tot lêers, sonder 'n organisatoriese rekening nodig te hê.
Die aanval behels verskeie stappe wat 'n generiese maatskappy teiken. So kan dit ontvou:
Domeinregistrasie en Aansoekgasheer: Die aanvaller registreer 'n domein wat lyk soos 'n betroubare webwerf, byvoorbeeld "veiligedomeinlogin.com". Onder hierdie domein word 'n subdomein geskep (bv. "maatskappy.naamveiligedomeinlogin.com") om 'n aansoek te gasheer wat ontwerp is om magtigingskodes vas te vang en toegangstokens aan te vra.
Aansoekregistrasie in Azure AD: Die aanvaller registreer dan 'n Meertenant Aansoek in hul Azure AD Huurder, en noem dit na die teikenmaatskappy om legitiem te lyk. Hulle konfigureer die aansoek se Omleidings-URL om te verwys na die subdomein wat die kwaadwillige aansoek gasheer.
Opstel van Toestemmings: Die aanvaller stel die aansoek op met verskeie API-toestemmings (bv. Mail.Read, Notes.Read.All, Files.ReadWrite.All, User.ReadBasic.All, User.Read). Hierdie toestemmings, eens deur die gebruiker verleen, laat die aanvaller toe om sensitiewe inligting namens die gebruiker te onttrek.
Verspreiding van Kwaadwillige Skakels: Die aanvaller stel 'n skakel saam wat die kliënt-ID van die kwaadwillige aansoek bevat en deel dit met geteikende gebruikers, deur hulle te mislei om toestemming te verleen.
Die aanval kan gefasiliteer word met gereedskap soos 365-Stealer.
As die aanvaller 'n sekere vlak van toegang tot 'n gebruiker in die slagofferorganisasie het, kan hulle nagaan of die organisasie se beleid die gebruiker toelaat om aansoeke te aanvaar:
Vir die uitvoering van die aanval, sal die aanvaller 'n nuwe Toepassing in hul Azure Huurder moet skep (in Toepassingsregistrasies), opgestel met die regte:
User.ReadBasic.All is binne Microsoft Graph in Delegated permissions. (Toepassingsregte sal altyd ekstra goedkeuring benodig).
User.ReadBasic.All is die reg wat jou sal toelaat om inligting van alle gebruikers in die organisasie te lees indien dit toegestaan word.
Onthou dat slegs GA, ApplicationAdministrator, CloudApplication Administrator en 'n aangepaste rol wat regte het om regte aan toepassings te verleen kan huurderbreë toestemming gee. So, jy moet 'n gebruiker met een van daardie rolle phish as jy wil hê hy moet 'n Toepassing wat admin-toestemming benodig goedkeur.
Jy kan ook 'n Toepassing skep via die opdraggelyn met:
Kyk na https://www.alteredsecurity.com/post/introduction-to-365-stealer om te leer hoe om dit te konfigureer.
Let daarop dat die verkrygde toegangsteken vir die grafiek-eindpunt sal wees met die omvang: User.Read en User.ReadBasic.All (die versoekte toestemmings). Jy sal nie in staat wees om ander aksies uit te voer nie (maar dit is genoeg om inligting oor al die gebruikers in die organisasie af te laai).
Jy kan ook hierdie gereedskap gebruik om hierdie aanval uit te voer.
Sodra jy toegang tot die gebruiker het, kan jy dinge doen soos die steel van sensitiewe dokumente en selfs die oplaai van agterdeur-dokumentlêers.
