Az - Persistence
Illegale Zustimmungserteilung
Standardmäßig kann sich jeder Benutzer in Azure AD eine Anwendung registrieren. Sie können also eine Anwendung (nur für den Zielmandanten) registrieren, die hohe Berechtigungen mit administrativer Zustimmung benötigt (und sie genehmigen, wenn Sie der Administrator sind) - wie das Senden von E-Mails im Namen eines Benutzers, Rollenmanagement usw. Dies ermöglicht es uns, Phishing-Angriffe durchzuführen, die im Erfolgsfall sehr ertragreich wären.
Darüber hinaus könnten Sie auch diese Anwendung mit Ihrem Benutzer akzeptieren, um den Zugriff darauf aufrechtzuerhalten.
Anwendungen und Dienstprinzipale
Mit den Rechten eines Anwendungsadministrators, GA oder einer benutzerdefinierten Rolle mit microsoft.directory/applications/credentials/update Berechtigungen können wir Anmeldeinformationen (Geheimnis oder Zertifikat) zu einer bestehenden Anwendung hinzufügen.
Es ist möglich, eine Anwendung mit hohen Berechtigungen zu zielen oder eine neue Anwendung mit hohen Berechtigungen hinzuzufügen.
Eine interessante Rolle, die der Anwendung hinzugefügt werden könnte, wäre die Rolle des privilegierten Authentifizierungsadministrators, da sie es ermöglicht, das Passwort von globalen Administratoren zurückzusetzen.
Diese Technik ermöglicht es auch, MFA zu umgehen.
Für die authentifizierung basierend auf Zertifikaten
Federation - Token Signing Certificate
Mit DA-Rechten auf dem lokalen AD ist es möglich, neue Token-Signierungs- und Token-Entschlüsselungszertifikate zu erstellen und zu importieren, die eine sehr lange Gültigkeit haben. Dies ermöglicht es uns, uns als jeden Benutzer anzumelden, dessen ImmutableID wir kennen.
Führen Sie den folgenden Befehl als DA auf dem ADFS-Server(n) aus, um neue Zertifikate zu erstellen (Standardpasswort 'AADInternals'), fügen Sie sie zu ADFS hinzu, deaktivieren Sie die automatische Rollverarbeitung und starten Sie den Dienst neu:
Dann aktualisieren Sie die Zertifikatsinformationen mit Azure AD:
Federation - Vertrauenswürdige Domäne
Mit GA-Rechten auf einem Mandanten ist es möglich, eine neue Domäne hinzuzufügen (muss verifiziert werden), ihren Authentifizierungstyp auf Federated zu konfigurieren und die Domäne so zu konfigurieren, dass sie ein bestimmtes Zertifikat (any.sts im folgenden Befehl) und den Aussteller vertraut:
Referenzen
Last updated