Az - Device Registration

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Όταν μια συσκευή ενώνεται με το AzureAD, δημιουργείται ένα νέο αντικείμενο στο AzureAD.

Κατά την εγγραφή μιας συσκευής, ο χρήστης ζητείται να συνδεθεί με τον λογαριασμό του (ζητώντας MFA αν χρειαστεί), στη συνέχεια ζητάει tokens για την υπηρεσία εγγραφής συσκευών και μετά ζητάει μια τελική επιβεβαίωση.

Στη συνέχεια, δημιουργούνται δύο ζεύγη κλειδιών RSA στη συσκευή: Το κλειδί της συσκευής (δημόσιο κλειδί) το οποίο αποστέλλεται στο AzureAD και το κλειδί μεταφοράς (ιδιωτικό κλειδί) το οποίο αποθηκεύεται στο TPM αν είναι δυνατόν.

Στη συνέχεια, το αντικείμενο δημιουργείται στο AzureAD (όχι στο Intune) και το AzureAD επιστρέφει στη συσκευή ένα πιστοποιητικό υπογεγραμμένο από αυτό. Μπορείτε να ελέγξετε ότι η συσκευή είναι συνδεδεμένη με το AzureAD και πληροφορίες σχετικά με το πιστοποιητικό (όπως αν είναι προστατευμένο από TPM).

dsregcmd /status

Μετά την εγγραφή της συσκευής, ένα Primary Refresh Token ζητείται από το LSASS CloudAP module και δίνεται στη συσκευή. Με το PRT παραδίδεται επίσης το κλειδί συνεδρίας κρυπτογραφημένο ώστε μόνο η συσκευή να μπορεί να το αποκρυπτογραφήσει (χρησιμοποιώντας το δημόσιο κλειδί του κλειδιού μεταφοράς) και είναι αναγκαίο για τη χρήση του PRT.

Για περισσότερες πληροφορίες σχετικά με το τι είναι ένα PRT, ελέγξτε:

TPM - Trusted Platform Module

Το TPM προστατεύει από την εξαγωγή κλειδιών από μια συσκευή που είναι απενεργοποιημένη (αν προστατεύεται με PIN) και από την εξαγωγή του ιδιωτικού υλικού από το επίπεδο του λειτουργικού συστήματος. Αλλά δεν προστατεύει από την παρακολούθηση της φυσικής σύνδεσης μεταξύ του TPM και της CPU ή χρησιμοποιώντας το κρυπτογραφικό υλικό στο TPM ενώ το σύστημα εκτελείται από μια διαδικασία με δικαιώματα SYSTEM.

Αν ελέγξετε την παρακάτω σελίδα, θα δείτε ότι η κλοπή του PRT μπορεί να χρησιμοποιηθεί για πρόσβαση ως χρήστης, το οποίο είναι εξαιρετικό γιατί το PRT βρίσκεται σε συσκευές, οπότε μπορεί να κλαπεί από αυτές (ή αν δεν κλαπεί, να καταχραστεί για να παραχθούν νέα κλειδιά υπογραφής):

Εγγραφή μιας συσκευής με SSO tokens

Θα ήταν δυνατό για έναν επιτιθέμενο να ζητήσει ένα token για την υπηρεσία εγγραφής συσκευών της Microsoft από τη συμβιβασμένη συσκευή και να την εγγράψει:

# Initialize SSO flow
roadrecon auth prt-init
.\ROADtoken.exe <nonce>

# Request token with PRT with PRT cookie
roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>

# Custom pyhton script to register a device (check roadtx)
registerdevice.py

Που θα σας δώσει ένα πιστοποιητικό που μπορείτε να χρησιμοποιήσετε για να ζητήσετε PRTs στο μέλλον. Επομένως, διατηρείται η επιμονή και παρακάμπτετε το MFA επειδή το αρχικό PRT token που χρησιμοποιήθηκε για την εγγραφή της νέας συσκευής είχε ήδη παραχωρηθεί άδεια MFA.

Σημειώστε ότι για να εκτελέσετε αυτήν την επίθεση θα χρειαστείτε άδειες για να εγγράψετε νέες συσκευές. Επίσης, η εγγραφή μιας συσκευής δεν σημαίνει ότι η συσκευή θα επιτρέπεται να εγγραφεί στο Intune.

Αυτή η επίθεση διορθώθηκε τον Σεπτέμβριο του 2021 καθώς δεν μπορείτε πλέον να εγγράψετε νέες συσκευές χρησιμοποιώντας SSO tokens. Ωστόσο, είναι ακόμα δυνατό να εγγραφούν συσκευές με νόμιμο τρόπο (έχοντας όνομα χρήστη, κωδικό πρόσβασης και MFA αν χρειαστεί). Ελέγξτε: roadtx.

Εγγραφή ενός εισιτηρίου συσκευής

Ήταν δυνατό να ζητήσετε ένα εισιτήριο συσκευής, να το αντικαταστήσετε με το τρέχον της συσκευής, και κατά τη διάρκεια της διαδικασίας να κλέψετε το PRT (έτσι δεν χρειάζεται να το κλέψετε από το TPM. Για περισσότερες πληροφορίες ελέγξτε αυτή την ομιλία.

Ωστόσο, αυτό διορθώθηκε.

Αντικατάσταση κλειδιού WHFB

Ελέγξτε τις αρχικές διαφάνειες εδώ

Περίληψη επίθεσης:

Είναι δυνατό να αντικαταστήσετε το καταχωρημένο κλειδί WHFB από μια συσκευή μέσω SSO
Αυτό καταρρίπτει την προστασία TPM καθώς το κλειδί συλλέγεται κατά τη διάρκεια της δημιουργίας του νέου κλειδιού
Αυτό παρέχει επίσης επιμονή

Οι χρήστες μπορούν να τροποποιήσουν την ιδιότητα searchableDeviceKey τους μέσω του Azure AD Graph, ωστόσο, ο επιτιθέμενος πρέπει να έχει μια συσκευή στον ενοικιαστή (καταχωρημένη αυθόρμητα ή έχοντας κλέψει πιστοποιητικό + κλειδί από μια νόμιμη συσκευή) και ένα έγκυρο access token για το AAD Graph.

Στη συνέχεια, είναι δυνατό να δημιουργηθεί ένα νέο κλειδί με:

roadtx genhellokey -d <device id> -k tempkey.key

και στη συνέχεια PATCH την πληροφορία του searchableDeviceKey:

Είναι δυνατόν να αποκτήσετε ένα access token από έναν χρήστη μέσω device code phishing και να εκμεταλλευτείτε τα προηγούμενα βήματα για να κλέψετε την πρόσβασή του. Για περισσότερες πληροφορίες ελέγξτε:

Αναφορές

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousAz - Storage Persistence NextDigital Ocean Pentesting

Last updated 3 days ago