Az - Device Registration
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Όταν μια συσκευή ενώνεται με το AzureAD, δημιουργείται ένα νέο αντικείμενο στο AzureAD.
Κατά την εγγραφή μιας συσκευής, ο χρήστης ζητείται να συνδεθεί με τον λογαριασμό του (ζητώντας MFA αν χρειαστεί), στη συνέχεια ζητάει tokens για την υπηρεσία εγγραφής συσκευών και μετά ζητάει μια τελική επιβεβαίωση.
Στη συνέχεια, δημιουργούνται δύο ζεύγη κλειδιών RSA στη συσκευή: Το κλειδί της συσκευής (δημόσιο κλειδί) το οποίο αποστέλλεται στο AzureAD και το κλειδί μεταφοράς (ιδιωτικό κλειδί) το οποίο αποθηκεύεται στο TPM αν είναι δυνατόν.
Στη συνέχεια, το αντικείμενο δημιουργείται στο AzureAD (όχι στο Intune) και το AzureAD επιστρέφει στη συσκευή ένα πιστοποιητικό υπογεγραμμένο από αυτό. Μπορείτε να ελέγξετε ότι η συσκευή είναι συνδεδεμένη με το AzureAD και πληροφορίες σχετικά με το πιστοποιητικό (όπως αν είναι προστατευμένο από TPM).
Μετά την εγγραφή της συσκευής, ένα Primary Refresh Token ζητείται από το LSASS CloudAP module και δίνεται στη συσκευή. Με το PRT παραδίδεται επίσης το κλειδί συνεδρίας κρυπτογραφημένο ώστε μόνο η συσκευή να μπορεί να το αποκρυπτογραφήσει (χρησιμοποιώντας το δημόσιο κλειδί του κλειδιού μεταφοράς) και είναι αναγκαίο για τη χρήση του PRT.
Για περισσότερες πληροφορίες σχετικά με το τι είναι ένα PRT, ελέγξτε:
Az - Primary Refresh Token (PRT)Το TPM προστατεύει από την εξαγωγή κλειδιών από μια συσκευή που είναι απενεργοποιημένη (αν προστατεύεται με PIN) και από την εξαγωγή του ιδιωτικού υλικού από το επίπεδο του λειτουργικού συστήματος. Αλλά δεν προστατεύει από την παρακολούθηση της φυσικής σύνδεσης μεταξύ του TPM και της CPU ή χρησιμοποιώντας το κρυπτογραφικό υλικό στο TPM ενώ το σύστημα εκτελείται από μια διαδικασία με δικαιώματα SYSTEM.
Αν ελέγξετε την παρακάτω σελίδα, θα δείτε ότι η κλοπή του PRT μπορεί να χρησιμοποιηθεί για πρόσβαση ως χρήστης, το οποίο είναι εξαιρετικό γιατί το PRT βρίσκεται σε συσκευές, οπότε μπορεί να κλαπεί από αυτές (ή αν δεν κλαπεί, να καταχραστεί για να παραχθούν νέα κλειδιά υπογραφής):
Az - Pass the PRTΘα ήταν δυνατό για έναν επιτιθέμενο να ζητήσει ένα token για την υπηρεσία εγγραφής συσκευών της Microsoft από τη συμβιβασμένη συσκευή και να την εγγράψει:
Που θα σας δώσει ένα πιστοποιητικό που μπορείτε να χρησιμοποιήσετε για να ζητήσετε PRTs στο μέλλον. Επομένως, διατηρείται η επιμονή και παρακάμπτετε το MFA επειδή το αρχικό PRT token που χρησιμοποιήθηκε για την εγγραφή της νέας συσκευής είχε ήδη παραχωρηθεί άδεια MFA.
Σημειώστε ότι για να εκτελέσετε αυτήν την επίθεση θα χρειαστείτε άδειες για να εγγράψετε νέες συσκευές. Επίσης, η εγγραφή μιας συσκευής δεν σημαίνει ότι η συσκευή θα επιτρέπεται να εγγραφεί στο Intune.
Αυτή η επίθεση διορθώθηκε τον Σεπτέμβριο του 2021 καθώς δεν μπορείτε πλέον να εγγράψετε νέες συσκευές χρησιμοποιώντας SSO tokens. Ωστόσο, είναι ακόμα δυνατό να εγγραφούν συσκευές με νόμιμο τρόπο (έχοντας όνομα χρήστη, κωδικό πρόσβασης και MFA αν χρειαστεί). Ελέγξτε: roadtx.
Ήταν δυνατό να ζητήσετε ένα εισιτήριο συσκευής, να το αντικαταστήσετε με το τρέχον της συσκευής, και κατά τη διάρκεια της διαδικασίας να κλέψετε το PRT (έτσι δεν χρειάζεται να το κλέψετε από το TPM. Για περισσότερες πληροφορίες ελέγξτε αυτή την ομιλία.
Ωστόσο, αυτό διορθώθηκε.
Ελέγξτε τις αρχικές διαφάνειες εδώ
Περίληψη επίθεσης:
Είναι δυνατό να αντικαταστήσετε το καταχωρημένο κλειδί WHFB από μια συσκευή μέσω SSO
Αυτό καταρρίπτει την προστασία TPM καθώς το κλειδί συλλέγεται κατά τη διάρκεια της δημιουργίας του νέου κλειδιού
Αυτό παρέχει επίσης επιμονή
Οι χρήστες μπορούν να τροποποιήσουν την ιδιότητα searchableDeviceKey τους μέσω του Azure AD Graph, ωστόσο, ο επιτιθέμενος πρέπει να έχει μια συσκευή στον ενοικιαστή (καταχωρημένη αυθόρμητα ή έχοντας κλέψει πιστοποιητικό + κλειδί από μια νόμιμη συσκευή) και ένα έγκυρο access token για το AAD Graph.
Στη συνέχεια, είναι δυνατό να δημιουργηθεί ένα νέο κλειδί με:
και στη συνέχεια PATCH την πληροφορία του searchableDeviceKey:
Είναι δυνατόν να αποκτήσετε ένα access token από έναν χρήστη μέσω device code phishing και να εκμεταλλευτείτε τα προηγούμενα βήματα για να κλέψετε την πρόσβασή του. Για περισσότερες πληροφορίες ελέγξτε:
Az - Phishing Primary Refresh Token (Microsoft Entra)Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)