Az - PTA - Pass-through Authentication
Informations de base
Extrait des docs : L'authentification Pass-through d'Azure Active Directory (Azure AD) permet à vos utilisateurs de se connecter à la fois aux applications sur site et basées sur le cloud en utilisant les mêmes mots de passe. Cette fonctionnalité offre à vos utilisateurs une meilleure expérience - un mot de passe de moins à retenir, et réduit les coûts du support informatique car vos utilisateurs sont moins susceptibles d'oublier comment se connecter. Lorsque les utilisateurs se connectent en utilisant Azure AD, cette fonctionnalité valide les mots de passe des utilisateurs directement contre votre Active Directory sur site.
Dans PTA, les identités sont synchronisées mais les mots de passe ne le sont pas comme dans PHS.
L'authentification est validée dans l'AD sur site et la communication avec le cloud est effectuée par un agent d'authentification fonctionnant sur un serveur sur site (il n'a pas besoin d'être sur le DC sur site).
Flux d'authentification
Pour se connecter, l'utilisateur est redirigé vers Azure AD, où il envoie le nom d'utilisateur et le mot de passe.
Les identifiants sont chiffrés et placés dans une file d'attente dans Azure AD.
L'agent d'authentification sur site récupère les identifiants de la file d'attente et les déchiffre. Cet agent est appelé "agent d'authentification pass-through" ou agent PTA.
L'agent valide les identifiants contre l'AD sur site et envoie la réponse de retour à Azure AD qui, si la réponse est positive, termine la connexion de l'utilisateur.
Si un attaquant compromet le PTA, il peut voir tous les identifiants de la file d'attente (en texte clair). Il peut également valider n'importe quels identifiants auprès d'AzureAD (attaque similaire à la clé squelette).
Sur site -> cloud
Si vous avez un accès administrateur au serveur Azure AD Connect avec l'agent PTA en cours d'exécution, vous pouvez utiliser le module AADInternals pour insérer une porte dérobée qui validera TOUS les mots de passe introduits (ainsi tous les mots de passe seront valides pour l'authentification) :
Si l'installation échoue, cela est probablement dû à l'absence de Microsoft Visual C++ 2015 Redistributables.
Il est également possible de voir les mots de passe en clair envoyés à l'agent PTA en utilisant le cmdlet suivant sur la machine où le backdoor précédent a été installé :
Cette porte dérobée va :
Créer un dossier caché
C:\PTASpyCopier un
PTASpy.dlldansC:\PTASpyInjecter
PTASpy.dlldans le processusAzureADConnectAuthenticationAgentService
Lorsque le service AzureADConnectAuthenticationAgent est redémarré, PTASpy est "déchargé" et doit être réinstallé.
Cloud -> Sur site
Après avoir obtenu des privileges GA sur le cloud, il est possible de enregistrer un nouvel agent PTA en le configurant sur une machine contrôlée par l'attaquant. Une fois l'agent configuré, nous pouvons répéter les étapes précédentes pour s'authentifier en utilisant n'importe quel mot de passe et également, obtenir les mots de passe en clair.
SSO Transparent
Il est possible d'utiliser le SSO Transparent avec PTA, qui est vulnérable à d'autres abus. Vérifiez-le dans :
Références
Last updated
