Az - Seamless SSO
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Dans la documentation : Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) connecte automatiquement les utilisateurs lorsqu'ils sont sur leurs appareils d'entreprise connectés à votre réseau d'entreprise. Lorsqu'il est activé, les utilisateurs n'ont pas besoin de saisir leurs mots de passe pour se connecter à Azure AD, et généralement, même de saisir leurs noms d'utilisateur. Cette fonctionnalité offre à vos utilisateurs un accès facile à vos applications basées sur le cloud sans nécessiter de composants supplémentaires sur site.
Fondamentalement, Azure AD Seamless SSO connecte les utilisateurs lorsqu'ils sont sur un PC joint à un domaine sur site.
Il est pris en charge à la fois par PHS (Password Hash Sync) et PTA (Pass-through Authentication).
Le SSO de bureau utilise Kerberos pour l'authentification. Lorsqu'il est configuré, Azure AD Connect crée un compte d'ordinateur appelé AZUREADSSOACC$
dans l'AD sur site. Le mot de passe du compte AZUREADSSOACC$
est envoyé en texte clair à Azure AD lors de la configuration.
Les tickets Kerberos sont chiffrés en utilisant le NTHash (MD4) du mot de passe et Azure AD utilise le mot de passe envoyé pour déchiffrer les tickets.
Azure AD expose un point de terminaison (https://autologon.microsoftazuread-sso.com) qui accepte les tickets Kerberos. Le navigateur de la machine jointe au domaine transmet les tickets à ce point de terminaison pour le SSO.
Le mot de passe de l'utilisateur AZUREADSSOACC$
ne change jamais. Par conséquent, un administrateur de domaine pourrait compromettre le hash de ce compte, puis l'utiliser pour créer des tickets argentés pour se connecter à Azure avec n'importe quel utilisateur sur site synchronisé :
Avec le hash, vous pouvez maintenant générer des tickets argent :
Pour utiliser le ticket argent, les étapes suivantes doivent être exécutées :
Lancer le Navigateur : Mozilla Firefox doit être lancé.
Configurer le Navigateur :
Naviguez vers about:config
.
Définissez la préférence pour network.negotiate-auth.trusted-uris aux valeurs spécifiées :
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
Accéder à l'Application Web :
Visitez une application web qui est intégrée au domaine AAD de l'organisation. Un exemple courant est Office 365.
Processus d'Authentification :
À l'écran de connexion, le nom d'utilisateur doit être saisi, en laissant le champ du mot de passe vide.
Pour continuer, appuyez sur TAB ou ENTER.
Cela ne contourne pas la MFA si elle est activée
Il est également possible d'effectuer cette attaque sans une attaque dcsync pour être plus furtif comme expliqué dans cet article de blog. Pour cela, vous avez seulement besoin de l'un des éléments suivants :
Golden Ticket : Si vous avez la clé KRBTGT, vous pouvez créer le TGT dont vous avez besoin pour l'utilisateur attaqué.
Le hash NTLM ou la clé AES d'un utilisateur compromis : SeamlessPass communiquera avec le contrôleur de domaine avec ces informations pour générer le TGT.
Le hash NTLM ou la clé AES du compte AZUREADSSOACC$ : Avec ces informations et l'Identifiant de Sécurité (SID) de l'utilisateur à attaquer, il est possible de créer un ticket de service et de s'authentifier avec le cloud (comme effectué dans la méthode précédente).
Enfin, avec le TGT, il est possible d'utiliser l'outil SeamlessPass avec :
Des informations supplémentaires pour configurer Firefox afin de fonctionner avec SSO transparent peuvent être trouvées dans cet article de blog.
Si les administrateurs Active Directory ont accès à Azure AD Connect, ils peuvent définir le SID pour tout utilisateur cloud. De cette manière, des tickets Kerberos peuvent être créés également pour les utilisateurs uniquement cloud. La seule exigence est que le SID soit un SID approprié.
Changer le SID des utilisateurs administrateurs uniquement cloud est maintenant bloqué par Microsoft. Pour plus d'infos, consultez https://aadinternals.com/post/on-prem_admin/
Quiconque peut gérer des comptes d'ordinateur (AZUREADSSOACC$
) dans le conteneur ou l'OU dans lequel se trouve ce compte peut configurer une délégation contrainte basée sur les ressources sur le compte et y accéder.
Apprenez et pratiquez le hacking AWS :HackTricks Formation Expert Red Team AWS (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Formation Expert Red Team GCP (GRTE)