Az - PHS - Password Hash Sync
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aus den Dokumenten: Password Hash Synchronization ist eine der Anmeldemethoden, die verwendet wird, um hybride Identität zu erreichen. Azure AD Connect synchronisiert einen Hash, des Hashes, des Passworts eines Benutzers von einer lokalen Active Directory-Instanz zu einer cloudbasierten Azure AD-Instanz.
Es ist die häufigste Methode, die von Unternehmen verwendet wird, um ein lokales AD mit Azure AD zu synchronisieren.
Alle Benutzer und ein Hash der Passwort-Hashes werden vom lokalen AD zu Azure AD synchronisiert. Allerdings werden Klartext-Passwörter oder die ursprünglichen Hashes nicht an Azure AD gesendet. Darüber hinaus werden eingebaute Sicherheitsgruppen (wie Domänenadministratoren...) nicht mit Azure AD synchronisiert.
Die Hash-Synchronisation erfolgt alle 2 Minuten. Standardmäßig werden jedoch Passwortablauf und Kontenablauf nicht synchronisiert in Azure AD. Ein Benutzer, dessen lokales Passwort abgelaufen ist (nicht geändert), kann weiterhin auf Azure-Ressourcen mit dem alten Passwort zugreifen.
Wenn ein lokaler Benutzer auf eine Azure-Ressource zugreifen möchte, erfolgt die Authentifizierung in Azure AD.
PHS ist erforderlich für Funktionen wie Identity Protection und AAD-Domain-Services.
Wenn PHS konfiguriert ist, werden einige privilegierte Konten automatisch erstellt:
Das Konto MSOL_<installationID>
wird automatisch im lokalen AD erstellt. Dieses Konto erhält eine Directory Synchronization Accounts-Rolle (siehe Dokumentation), was bedeutet, dass es Replikationsberechtigungen (DCSync) im lokalen AD hat.
Ein Konto Sync_<Name des lokalen ADConnect-Servers>_installationID
wird in Azure AD erstellt. Dieses Konto kann das Passwort von JEDER Benutzer (synchronisiert oder nur Cloud) in Azure AD zurücksetzen.
Die Passwörter der beiden vorherigen privilegierten Konten werden in einem SQL-Server auf dem Server gespeichert, auf dem Azure AD Connect installiert ist. Administratoren können die Passwörter dieser privilegierten Benutzer im Klartext extrahieren.
Die Datenbank befindet sich in C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf
.
Es ist möglich, die Konfiguration aus einer der Tabellen zu extrahieren, wobei eine verschlüsselt ist:
SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;
Die verschlüsselte Konfiguration ist mit DPAPI verschlüsselt und enthält die Passwörter des MSOL_*
Benutzers im lokalen AD und das Passwort von Sync_* in AzureAD. Daher ist es möglich, durch das Kompromittieren dieser auf das AD und AzureAD zuzugreifen.
Sie finden eine vollständige Übersicht darüber, wie diese Anmeldeinformationen gespeichert und entschlüsselt werden, in diesem Vortrag.
Wenn der Server, auf dem Azure AD Connect installiert ist, mit der Domäne verbunden ist (in den Dokumenten empfohlen), ist es möglich, ihn mit zu finden:
Sie können auch adconnectdump verwenden, um diese Anmeldeinformationen zu erhalten.
Durch die Kompromittierung des Sync_*
Kontos ist es möglich, das Passwort eines beliebigen Benutzers (einschließlich globaler Administratoren) zurückzusetzen.
Es ist auch möglich, die Passwörter nur von Cloud-Benutzern zu ändern (auch wenn das unerwartet ist).
Es ist auch möglich, das Passwort dieses Benutzers zu dumpen.
Eine weitere Option wäre, privilegierte Berechtigungen für ein Dienstprinzipal zuzuweisen, was der Sync-Benutzer berechtigt ist zu tun, und dann auf dieses Dienstprinzipal zuzugreifen als eine Möglichkeit der Privilegieneskalation.
Es ist möglich, nahtloses SSO mit PHS zu verwenden, das anfällig für andere Missbräuche ist. Überprüfen Sie es in:
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)