Az - Lateral Movement (Cloud - On-Prem)
Az - Laterale Bewegung (Cloud - On-Prem)
On-Prem Maschinen, die mit der Cloud verbunden sind
Es gibt verschiedene Möglichkeiten, wie eine Maschine mit der Cloud verbunden sein kann:
Azure AD verbunden
Arbeitsplatz verbunden
Hybrid verbunden
Arbeitsplatz verbunden auf AADJ oder Hybrid
Tokens und Einschränkungen
In Azure AD gibt es verschiedene Arten von Tokens mit spezifischen Einschränkungen:
Zugriffstokens: Werden verwendet, um auf APIs und Ressourcen wie Microsoft Graph zuzugreifen. Sie sind an einen bestimmten Client und eine Ressource gebunden.
Aktualisierungstokens: Werden an Anwendungen ausgegeben, um neue Zugriffstokens zu erhalten. Sie können nur von der Anwendung verwendet werden, an die sie ausgegeben wurden, oder von einer Gruppe von Anwendungen.
Primäre Aktualisierungstokens (PRT): Werden für die Single Sign-On-Authentifizierung auf Azure AD verbundenen, registrierten oder hybrid verbundenen Geräten verwendet. Sie können in Anmeldeflüssen im Browser und für die Anmeldung bei mobilen und Desktop-Anwendungen auf dem Gerät verwendet werden.
Windows Hello for Business-Schlüssel (WHFB): Werden für passwortlose Authentifizierung verwendet. Sie werden verwendet, um primäre Aktualisierungstokens zu erhalten.
Die interessanteste Art von Token ist das primäre Aktualisierungstoken (PRT).
Az - Primary Refresh Token (PRT)Pivoting-Techniken
Von der kompromittierten Maschine zur Cloud:
Pass the Cookie: Stehlen Sie Azure-Cookies aus dem Browser und verwenden Sie sie zur Anmeldung
Dump processes access tokens: Dumpen Sie den Speicher lokaler Prozesse, die mit der Cloud synchronisiert sind (wie Excel, Teams...) und finden Sie Zugriffstokens im Klartext.
Phishing Primary Refresh Token: Phish das PRT, um es auszunutzen
Pass the PRT: Stehlen Sie das Geräte-PRT, um Azure zuzugreifen und sich als es auszugeben.
Pass the Certificate: Generieren Sie ein Zertifikat basierend auf dem PRT, um sich von einer Maschine zur anderen anzumelden
Vom Kompromittieren AD zum Kompromittieren der Cloud und vom Kompromittieren der Cloud zum Kompromittieren AD:
Ein weiterer Weg, um von der Cloud zu On-Prem zu pivotieren, ist Intune auszunutzen
Dieses Tool ermöglicht es, mehrere Aktionen durchzuführen, wie z.B. eine Maschine in Azure AD zu registrieren, um ein PRT zu erhalten, und PRTs (echt oder gestohlen) zu verwenden, um auf Ressourcen auf verschiedene Weise zuzugreifen. Dies sind keine direkten Angriffe, aber es erleichtert die Verwendung von PRTs, um auf Ressourcen auf verschiedene Weise zuzugreifen. Weitere Informationen finden Sie unter https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/
Referenzen
Last updated