Az - PTA - Pass-through Authentication
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aus den Dokumenten: Azure Active Directory (Azure AD) Pass-through Authentication ermöglicht es Ihren Benutzern, sich sowohl bei lokalen als auch bei cloudbasierten Anwendungen mit denselben Passwörtern anzumelden. Diese Funktion bietet Ihren Benutzern ein besseres Erlebnis - ein Passwort weniger zu merken, und senkt die IT-Hilfskosten, da Ihre Benutzer weniger wahrscheinlich vergessen, wie sie sich anmelden. Wenn sich Benutzer mit Azure AD anmelden, validiert diese Funktion die Passwörter der Benutzer direkt gegen Ihr lokales Active Directory.
In PTA werden Identitäten synchronisiert, aber Passwörter nicht, wie bei PHS.
Die Authentifizierung wird im lokalen AD validiert und die Kommunikation mit der Cloud erfolgt über einen Authentifizierungsagenten, der auf einem lokalen Server läuft (er muss nicht auf dem lokalen DC sein).
Um sich anzumelden, wird der Benutzer zu Azure AD umgeleitet, wo er den Benutzernamen und das Passwort sendet.
Die Anmeldeinformationen werden verschlüsselt und in einer Warteschlange in Azure AD gesetzt.
Der lokale Authentifizierungsagent sammelt die Anmeldeinformationen aus der Warteschlange und entschlüsselt sie. Dieser Agent wird "Pass-through authentication agent" oder PTA-Agent genannt.
Der Agent validiert die Anmeldeinformationen gegen das lokale AD und sendet die Antwort zurück an Azure AD, die, wenn die Antwort positiv ist, die Anmeldung des Benutzers abschließt.
Wenn ein Angreifer den PTA kompromittiert, kann er alle Anmeldeinformationen aus der Warteschlange sehen (im Klartext). Er kann auch beliebige Anmeldeinformationen für AzureAD validieren (ähnlicher Angriff wie bei Skeleton Key).
Wenn Sie Admin-Zugriff auf den Azure AD Connect-Server mit dem laufenden PTA Agenten haben, können Sie das AADInternals-Modul verwenden, um eine Hintertür zu einzufügen, die ALLE Passwörter, die eingegeben werden, validiert (so dass alle Passwörter für die Authentifizierung gültig sind):
Wenn die Installation fehlschlägt, liegt das wahrscheinlich an fehlenden Microsoft Visual C++ 2015 Redistributables.
Es ist auch möglich, die im Klartext gesendeten Passwörter an den PTA-Agenten mit dem folgenden Cmdlet auf dem Computer zu sehen, auf dem das vorherige Backdoor installiert wurde:
This backdoor will:
Erstellen Sie einen versteckten Ordner C:\PTASpy
Kopieren Sie eine PTASpy.dll
nach C:\PTASpy
Injiziert PTASpy.dll
in den Prozess AzureADConnectAuthenticationAgentService
Wenn der AzureADConnectAuthenticationAgent-Dienst neu gestartet wird, wird PTASpy „entladen“ und muss neu installiert werden.
Nachdem Sie GA-Berechtigungen in der Cloud erhalten haben, ist es möglich, einen neuen PTA-Agenten zu registrieren, indem Sie ihn auf einem vom Angreifer kontrollierten Gerät einrichten. Sobald der Agent eingerichtet ist, können wir die vorherigen Schritte wiederholen, um mit jedem Passwort zu authentifizieren und auch die Passwörter im Klartext zu erhalten.
Es ist möglich, Seamless SSO mit PTA zu verwenden, das anfällig für andere Missbräuche ist. Überprüfen Sie es in:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)