Az - EntraID Privesc
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Beachten Sie, dass nicht alle granularen Berechtigungen der integrierten Rollen in Entra ID für benutzerdefinierte Rollen verwendet werden können.
Diese Rolle enthält die notwendigen granularen Berechtigungen, um Rollen an Prinzipale zuzuweisen und um Rollen mehr Berechtigungen zu geben. Beide Aktionen könnten missbraucht werden, um Privilegien zu eskalieren.
Rolle einem Benutzer zuweisen:
Fügen Sie einer Rolle weitere Berechtigungen hinzu:
microsoft.directory/applications/credentials/update
Dies ermöglicht einem Angreifer, Anmeldeinformationen (Passwörter oder Zertifikate) zu bestehenden Anwendungen hinzuzufügen. Wenn die Anwendung über privilegierte Berechtigungen verfügt, kann der Angreifer sich als diese Anwendung authentifizieren und diese Berechtigungen erlangen.
microsoft.directory/applications.myOrganization/credentials/update
Dies ermöglicht die gleichen Aktionen wie applications/credentials/update
, jedoch beschränkt auf Einzelverzeichnisanwendungen.
microsoft.directory/applications/owners/update
Durch das Hinzufügen als Eigentümer kann ein Angreifer die Anwendung manipulieren, einschließlich Anmeldeinformationen und Berechtigungen.
microsoft.directory/applications/allProperties/update
Ein Angreifer kann eine Umleitungs-URI zu Anwendungen hinzufügen, die von Benutzern des Mandanten verwendet werden, und dann Login-URLs mit der neuen Umleitungs-URL teilen, um deren Tokens zu stehlen. Beachten Sie, dass die Authentifizierung automatisch erfolgt, wenn der Benutzer bereits in der Anwendung angemeldet war, ohne dass der Benutzer etwas akzeptieren muss.
Beachten Sie, dass es auch möglich ist, die Berechtigungen, die die Anwendung anfordert, zu ändern, um mehr Berechtigungen zu erhalten, aber in diesem Fall muss der Benutzer erneut die Aufforderung akzeptieren, die nach allen Berechtigungen fragt.
microsoft.directory/servicePrincipals/credentials/update
Dies ermöglicht einem Angreifer, Anmeldeinformationen zu bestehenden Dienstprinzipalen hinzuzufügen. Wenn der Dienstprincipal erhöhte Berechtigungen hat, kann der Angreifer diese Berechtigungen übernehmen.
Das neu generierte Passwort wird nicht in der Webkonsole angezeigt, daher könnte dies eine heimliche Möglichkeit sein, um Persistenz über einen Dienstprinzipal aufrechtzuerhalten.
Über die API können sie gefunden werden mit: az ad sp list --query '[?length(keyCredentials) > 0 || length(passwordCredentials) > 0].[displayName, appId, keyCredentials, passwordCredentials]' -o json
Wenn Sie den Fehler "code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid."
erhalten, liegt das daran, dass es nicht möglich ist, die Eigenschaft passwordCredentials des SP zu ändern und Sie sie zuerst entsperren müssen. Dafür benötigen Sie eine Berechtigung (microsoft.directory/applications/allProperties/update
), die es Ihnen ermöglicht, Folgendes auszuführen:
microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Dies ermöglicht einem Angreifer, Anmeldeinformationen zu bestehenden Dienstprinzipalen hinzuzufügen. Wenn der Dienstprincipal erhöhte Berechtigungen hat, kann der Angreifer diese Berechtigungen übernehmen.
microsoft.directory/servicePrincipals/owners/update
Ähnlich wie bei Anwendungen ermöglicht diese Berechtigung das Hinzufügen weiterer Eigentümer zu einem Dienstprinzipal. Das Besitzen eines Dienstprinzipals ermöglicht die Kontrolle über dessen Anmeldeinformationen und Berechtigungen.
Nachdem ich einen neuen Eigentümer hinzugefügt hatte, versuchte ich, ihn zu entfernen, aber die API antwortete, dass die DELETE-Methode nicht unterstützt wird, obwohl es die Methode ist, die Sie verwenden müssen, um den Eigentümer zu löschen. Daher können Sie heutzutage keine Eigentümer entfernen.
microsoft.directory/servicePrincipals/disable
und enable
Diese Berechtigungen ermöglichen es, Dienstprinzipale zu deaktivieren und zu aktivieren. Ein Angreifer könnte diese Berechtigung nutzen, um einen Dienstprinzipal zu aktivieren, auf den er irgendwie Zugriff erhalten könnte, um Privilegien zu eskalieren.
Beachten Sie, dass der Angreifer für diese Technik zusätzliche Berechtigungen benötigt, um den aktivierten Dienstprinzipal zu übernehmen.
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials
& microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials
Diese Berechtigungen ermöglichen das Erstellen und Abrufen von Anmeldeinformationen für die einmalige Anmeldung, die den Zugriff auf Drittanwendungen ermöglichen könnten.
microsoft.directory/groups/allProperties/update
Diese Berechtigung ermöglicht es, Benutzer zu privilegierten Gruppen hinzuzufügen, was zu einer Privilegieneskalation führt.
Hinweis: Diese Berechtigung schließt Entra ID rollenzuweisbare Gruppen aus.
microsoft.directory/groups/owners/update
Diese Berechtigung ermöglicht es, Eigentümer von Gruppen zu werden. Ein Eigentümer einer Gruppe kann die Mitgliedschaft und Einstellungen der Gruppe steuern, was potenziell zu einer Eskalation der Berechtigungen für die Gruppe führen kann.
Hinweis: Diese Berechtigung schließt Entra ID rollenzuweisbare Gruppen aus.
microsoft.directory/groups/members/update
Diese Berechtigung erlaubt es, Mitglieder zu einer Gruppe hinzuzufügen. Ein Angreifer könnte sich selbst oder bösartige Konten zu privilegierten Gruppen hinzufügen, was erhöhten Zugriff gewähren kann.
microsoft.directory/groups/dynamicMembershipRule/update
Diese Berechtigung ermöglicht das Aktualisieren der Mitgliedschaftsregel in einer dynamischen Gruppe. Ein Angreifer könnte dynamische Regeln ändern, um sich selbst in privilegierte Gruppen aufzunehmen, ohne ausdrücklich hinzugefügt zu werden.
Hinweis: Diese Berechtigung schließt Entra ID rollenzuweisbare Gruppen aus.
Es könnte möglich sein, dass Benutzer ihre Berechtigungen erhöhen, indem sie ihre eigenen Eigenschaften ändern, um als Mitglieder dynamischer Gruppen hinzugefügt zu werden. Weitere Informationen finden Sie hier:
Az - Dynamic Groups Privescmicrosoft.directory/users/password/update
Diese Berechtigung ermöglicht es, das Passwort für Nicht-Admin-Benutzer zurückzusetzen, was einem potenziellen Angreifer die Möglichkeit gibt, Berechtigungen auf andere Benutzer zu eskalieren. Diese Berechtigung kann nicht benutzerdefinierten Rollen zugewiesen werden.
microsoft.directory/users/basic/update
Dieses Privileg erlaubt es, die Eigenschaften des Benutzers zu ändern. Es ist üblich, dynamische Gruppen zu finden, die Benutzer basierend auf den Werten der Eigenschaften hinzufügen. Daher könnte dieses Recht einem Benutzer erlauben, den benötigten Eigenschaftswert festzulegen, um Mitglied einer bestimmten dynamischen Gruppe zu werden und Privilegien zu eskalieren.
Fehlkonfigurierte bedingte Zugriffsrichtlinien, die MFA erfordern, könnten umgangen werden, siehe:
Az - Conditional Access Policies & MFA Bypassmicrosoft.directory/devices/registeredOwners/update
Diese Berechtigung ermöglicht Angreifern, sich selbst als Eigentümer von Geräten zuzuweisen, um Kontrolle oder Zugriff auf gerätespezifische Einstellungen und Daten zu erlangen.
microsoft.directory/devices/registeredUsers/update
Diese Berechtigung ermöglicht Angreifern, ihr Konto mit Geräten zu verknüpfen, um Zugriff zu erhalten oder Sicherheitsrichtlinien zu umgehen.
microsoft.directory/deviceLocalCredentials/password/read
Diese Berechtigung ermöglicht Angreifern, die Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für Microsoft Entra-verbundene Geräte zu lesen, einschließlich des Passworts.
microsoft.directory/bitlockerKeys/key/read
Diese Berechtigung ermöglicht den Zugriff auf BitLocker-Schlüssel, was einem Angreifer erlauben könnte, Laufwerke zu entschlüsseln und die Vertraulichkeit von Daten zu gefährden.
microsoft.directory/applications/permissions/update
microsoft.directory/servicePrincipals/permissions/update
microsoft.directory/applications.myOrganization/allProperties/update
microsoft.directory/applications/allProperties/update
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
microsoft.directory/applications/appRoles/update
microsoft.directory/applications.myOrganization/permissions/update
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)