Az AD Connect - Hybrid Identity
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Die Integration zwischen On-premises Active Directory (AD) und Azure AD wird durch Azure AD Connect erleichtert, das verschiedene Methoden anbietet, die Single Sign-on (SSO) unterstützen. Jede Methode, obwohl nützlich, weist potenzielle Sicherheitsanfälligkeiten auf, die ausgenutzt werden könnten, um Cloud- oder On-Premises-Umgebungen zu kompromittieren:
Pass-Through Authentication (PTA):
Mögliche Kompromittierung des Agents im On-Prem AD, die die Validierung von Benutzerpasswörtern für Azure-Verbindungen (On-Prem zu Cloud) ermöglicht.
Möglichkeit, einen neuen Agenten zu registrieren, um Authentifizierungen an einem neuen Standort (Cloud zu On-Prem) zu validieren.
Password Hash Sync (PHS):
Potenzielle Extraktion von Klartextpasswörtern privilegierter Benutzer aus dem AD, einschließlich der Anmeldeinformationen eines hochprivilegierten, automatisch generierten AzureAD-Benutzers.
Federation:
Diebstahl des privaten Schlüssels, der für die SAML-Signierung verwendet wird, was die Nachahmung von On-Prem- und Cloud-Identitäten ermöglicht.
Seamless SSO:
Diebstahl des Passworts des AZUREADSSOACC
-Benutzers, das für die Signierung von Kerberos-Silbertickets verwendet wird, was die Nachahmung eines beliebigen Cloud-Benutzers ermöglicht.
Cloud Kerberos Trust:
Möglichkeit, von Global Admin zu On-Prem Domain Admin zu eskalieren, indem AzureAD-Benutzernamen und SIDs manipuliert und TGTs von AzureAD angefordert werden.
Default Applications:
Die Kompromittierung eines Anwendungsadministrator-Kontos oder des On-Premise-Sync-Kontos ermöglicht die Änderung von Verzeichniseinstellungen, Gruppenmitgliedschaften, Benutzerkonten, SharePoint-Websites und OneDrive-Dateien.
Für jede Integrationsmethode erfolgt eine Benutzersynchronisation, und ein MSOL_<installationsidentifier>
-Konto wird im On-Prem AD erstellt. Bemerkenswert ist, dass sowohl die PHS- als auch die PTA-Methoden Seamless SSO ermöglichen, was eine automatische Anmeldung für Azure AD-Computer, die mit der On-Prem-Domäne verbunden sind, ermöglicht.
Um die Installation von Azure AD Connect zu überprüfen, kann der folgende PowerShell-Befehl verwendet werden, der das AzureADConnectHealthSync-Modul nutzt (standardmäßig mit Azure AD Connect installiert):
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)