Az - PTA - Pass-through Authentication

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Información Básica

De la documentación: La Autenticación Passthrough de Azure Active Directory (Azure AD) permite a sus usuarios iniciar sesión tanto en aplicaciones locales como en aplicaciones basadas en la nube utilizando las mismas contraseñas. Esta función proporciona a sus usuarios una mejor experiencia: una contraseña menos que recordar, y reduce los costos del servicio de asistencia de TI porque es menos probable que sus usuarios olviden cómo iniciar sesión. Cuando los usuarios inician sesión utilizando Azure AD, esta función valida las contraseñas de los usuarios directamente contra su Active Directory local.

En PTA, las identidades están sincronizadas pero las contraseñas no lo están como en PHS.

La autenticación se valida en el AD local y la comunicación con la nube se realiza mediante un agente de autenticación que se ejecuta en un servidor local (no necesita estar en el DC local).

Flujo de Autenticación

Para iniciar sesión, el usuario es redirigido a Azure AD, donde envía el nombre de usuario y la contraseña.
Las credenciales son encriptadas y colocadas en una cola en Azure AD.
El agente de autenticación local recoge las credenciales de la cola y las desencripta. Este agente se llama "agente de autenticación passthrough" o agente PTA.
El agente valida las credenciales contra el AD local y envía la respuesta de vuelta a Azure AD que, si la respuesta es positiva, completa el inicio de sesión del usuario.

Si un atacante compromete el PTA, puede ver todas las credenciales de la cola (en texto claro). También puede validar cualquier credencial en AzureAD (ataque similar a la llave maestra).

Local -> nube

Si tiene acceso administrativo al servidor Azure AD Connect con el agente PTA en ejecución, puede usar el módulo AADInternals para insertar una puerta trasera que validará TODAS las contraseñas introducidas (por lo que todas las contraseñas serán válidas para la autenticación):

Install-AADIntPTASpy

Si la instalación falla, esto se debe probablemente a la falta de Microsoft Visual C++ 2015 Redistributables.

También es posible ver las contraseñas en texto claro enviadas al agente PTA utilizando el siguiente cmdlet en la máquina donde se instaló la puerta trasera anterior:

Get-AADIntPTASpyLog -DecodePasswords

Esta puerta trasera hará:

Crear una carpeta oculta C:\PTASpy
Copiar un PTASpy.dll a C:\PTASpy
Inyectar PTASpy.dll al proceso AzureADConnectAuthenticationAgentService

Cuando el servicio AzureADConnectAuthenticationAgent se reinicia, PTASpy se “descarga” y debe ser reinstalado.

Nube -> Local

Después de obtener privilegios de GA en la nube, es posible registrar un nuevo agente PTA configurándolo en una máquina controlada por el atacante. Una vez que el agente está configurado, podemos repetir los pasos previos para autenticar usando cualquier contraseña y también, obtener las contraseñas en texto claro.

SSO Sin Problemas

Es posible usar SSO Sin Problemas con PTA, que es vulnerable a otros abusos. Revísalo en:

Az - Seamless SSO

Referencias

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

PreviousAz - PHS - Password Hash Sync NextAz - Seamless SSO

Last updated 1 month ago