Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
当设备加入 AzureAD 时,会在 AzureAD 中创建一个新对象。
在注册设备时,用户需要使用他的账户登录(如有需要会要求 MFA),然后请求设备注册服务的令牌,最后询问最终确认提示。
然后,在设备中生成两个 RSA 密钥对:设备密钥(公钥)发送到 AzureAD,传输密钥(私钥)如果可能则存储在 TPM 中。
接着,在 AzureAD 中生成 对象(而不是在 Intune 中),AzureAD 会向设备返回一个由其签名的 证书。您可以检查 设备是否已加入 AzureAD 以及有关 证书 的信息(例如是否受 TPM 保护)。
在设备注册后,LSASS CloudAP模块请求一个主刷新令牌并将其提供给设备。会同时交付加密的会话密钥,以便只有设备可以解密它(使用传输密钥的公钥),并且使用PRT是必需的。
有关PRT的更多信息,请查看:
Az - Primary Refresh Token (PRT)TPM 保护防止从关闭的设备中提取密钥(如果由PIN保护)以及从操作系统层提取私有材料。 但它不保护防止嗅探TPM与CPU之间的物理连接或在系统运行时使用TPM中的加密材料,这可能来自具有SYSTEM权限的进程。
如果您查看以下页面,您将看到窃取PRT可以像用户一样访问,这很好,因为PRT位于设备上,因此可以从它们中窃取(或者如果没有被窃取,则被滥用以生成新的签名密钥):
Az - Pass the PRT攻击者可以从被攻陷的设备请求Microsoft设备注册服务的令牌并注册它。
将为您提供一个可以在未来请求PRT的证书。因此,保持持久性并绕过MFA,因为用于注册新设备的原始PRT令牌已经获得了MFA权限。
请注意,要执行此攻击,您需要有注册新设备的权限。此外,注册设备并不意味着该设备将被允许注册到Intune。
此攻击在2021年9月已被修复,因为您无法再使用SSO令牌注册新设备。然而,仍然可以以合法方式注册设备(如果需要,提供用户名、密码和MFA)。请查看:roadtx。
可以请求设备票证,覆盖设备的当前票证,并在流程中窃取PRT(因此无需从TPM中窃取。有关更多信息,请查看此演讲。
然而,这已被修复。
攻击摘要:
可以通过SSO覆盖来自设备的注册WHFB密钥
它击败TPM保护,因为密钥在新密钥生成期间被嗅探
这也提供了持久性
用户可以通过Azure AD Graph修改自己的searchableDeviceKey属性,但是攻击者需要在租户中拥有一个设备(动态注册或从合法设备窃取证书和密钥)以及有效的AAD Graph访问令牌。
然后,可以使用以下方式生成新密钥:
然后PATCH可搜索的DeviceKey的信息:
可以通过设备代码钓鱼从用户那里获取访问令牌,并利用之前的步骤窃取他的访问权限。有关更多信息,请查看:
Az - Phishing Primary Refresh Token (Microsoft Entra)学习和实践AWS黑客技术:HackTricks培训AWS红队专家(ARTE) 学习和实践GCP黑客技术:HackTricks培训GCP红队专家(GRTE)
