Az - EntraID Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Σημειώστε ότι όχι όλες οι λεπτομερείς άδειες που έχουν οι ενσωματωμένοι ρόλοι στο Entra ID είναι επιλέξιμες για χρήση σε προσαρμοσμένους ρόλους.
Αυτός ο ρόλος περιέχει τις απαραίτητες λεπτομερείς άδειες για να μπορεί να αναθέτει ρόλους σε κύριους και να δίνει περισσότερες άδειες σε ρόλους. Και οι δύο ενέργειες θα μπορούσαν να καταχραστούν για να κλιμακωθούν τα προνόμια.
Ανάθεση ρόλου σε χρήστη:
Προσθέστε περισσότερες άδειες σε έναν ρόλο:
microsoft.directory/applications/credentials/update
Αυτό επιτρέπει σε έναν επιτιθέμενο να προσθέσει διαπιστευτήρια (κωδικούς πρόσβασης ή πιστοποιητικά) σε υπάρχουσες εφαρμογές. Εάν η εφαρμογή έχει προνομιακές άδειες, ο επιτιθέμενος μπορεί να αυθεντικοποιηθεί ως αυτή η εφαρμογή και να αποκτήσει αυτά τα προνόμια.
microsoft.directory/applications.myOrganization/credentials/update
Αυτό επιτρέπει τις ίδιες ενέργειες όπως το applications/credentials/update
, αλλά περιορισμένο σε εφαρμογές μίας μόνο διεύθυνσης.
microsoft.directory/applications/owners/update
Με την προσθήκη του εαυτού τους ως ιδιοκτήτη, ένας επιτιθέμενος μπορεί να χειριστεί την εφαρμογή, συμπεριλαμβανομένων των διαπιστευτηρίων και των δικαιωμάτων.
microsoft.directory/applications/allProperties/update
Ένας επιτιθέμενος μπορεί να προσθέσει μια διεύθυνση URI ανακατεύθυνσης σε εφαρμογές που χρησιμοποιούνται από τους χρήστες του ενοικιαστή και στη συνέχεια να μοιραστεί μαζί τους διευθύνσεις URL σύνδεσης που χρησιμοποιούν τη νέα διεύθυνση ανακατεύθυνσης προκειμένου να κλέψει τα διακριτικά τους. Σημειώστε ότι αν ο χρήστης ήταν ήδη συνδεδεμένος στην εφαρμογή, η αυθεντικοποίηση θα είναι αυτόματη χωρίς να χρειάζεται ο χρήστης να αποδεχτεί οτιδήποτε.
Σημειώστε ότι είναι επίσης δυνατό να αλλάξετε τις άδειες που ζητά η εφαρμογή προκειμένου να αποκτήσετε περισσότερες άδειες, αλλά σε αυτή την περίπτωση ο χρήστης θα χρειαστεί να αποδεχτεί ξανά την προτροπή που ζητά όλες τις άδειες.
microsoft.directory/servicePrincipals/credentials/update
Αυτό επιτρέπει σε έναν επιτιθέμενο να προσθέσει διαπιστευτήρια σε υπάρχοντες υπηρεσιακούς κύριους. Εάν ο υπηρεσιακός κύριος έχει ανυψωμένα δικαιώματα, ο επιτιθέμενος μπορεί να αναλάβει αυτά τα δικαιώματα.
Ο νέος κωδικός πρόσβασης που δημιουργείται δεν θα εμφανίζεται στην κονσόλα ιστού, οπότε αυτό θα μπορούσε να είναι ένας κρυφός τρόπος για να διατηρήσετε την επιμονή σε έναν υπηρεσιακό κύριο.
Από το API μπορούν να βρεθούν με: az ad sp list --query '[?length(keyCredentials) > 0 || length(passwordCredentials) > 0].[displayName, appId, keyCredentials, passwordCredentials]' -o json
Αν λάβετε το σφάλμα "code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid."
είναι επειδή δεν είναι δυνατή η τροποποίηση της ιδιότητας passwordCredentials του SP και πρώτα πρέπει να το ξεκλειδώσετε. Για αυτό χρειάζεστε μια άδεια (microsoft.directory/applications/allProperties/update
) που σας επιτρέπει να εκτελέσετε:
microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Αυτό επιτρέπει σε έναν επιτιθέμενο να προσθέσει διαπιστευτήρια σε υπάρχοντες υπηρεσιακούς κύριους. Εάν ο υπηρεσιακός κύριος έχει ανυψωμένα δικαιώματα, ο επιτιθέμενος μπορεί να αναλάβει αυτά τα δικαιώματα.
microsoft.directory/servicePrincipals/owners/update
Παρόμοια με τις εφαρμογές, αυτή η άδεια επιτρέπει την προσθήκη περισσότερων ιδιοκτητών σε ένα service principal. Η κατοχή ενός service principal επιτρέπει τον έλεγχο των διαπιστευτηρίων και των αδειών του.
Αφού πρόσθεσα έναν νέο ιδιοκτήτη, προσπάθησα να τον αφαιρέσω αλλά η API απάντησε ότι η μέθοδος DELETE δεν υποστηρίζεται, ακόμα και αν είναι η μέθοδος που πρέπει να χρησιμοποιήσεις για να αφαιρέσεις τον ιδιοκτήτη. Έτσι, δεν μπορείς να αφαιρέσεις ιδιοκτήτες σήμερα.
microsoft.directory/servicePrincipals/disable
και enable
Αυτές οι άδειες επιτρέπουν την απενεργοποίηση και την ενεργοποίηση υπηρεσιακών αρχών. Ένας επιτιθέμενος θα μπορούσε να χρησιμοποιήσει αυτή την άδεια για να ενεργοποιήσει μια υπηρεσιακή αρχή στην οποία θα μπορούσε να αποκτήσει πρόσβαση με κάποιο τρόπο για να κλιμακώσει τα προνόμια.
Σημειώστε ότι για αυτή την τεχνική, ο επιτιθέμενος θα χρειαστεί περισσότερες άδειες προκειμένου να αναλάβει την ενεργοποιημένη υπηρεσιακή αρχή.
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials
& microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials
Αυτές οι άδειες επιτρέπουν τη δημιουργία και την απόκτηση διαπιστευτηρίων για single sign-on, τα οποία θα μπορούσαν να επιτρέψουν πρόσβαση σε εφαρμογές τρίτων.
microsoft.directory/groups/allProperties/update
Αυτή η άδεια επιτρέπει την προσθήκη χρηστών σε προνομιούχες ομάδες, οδηγώντας σε κλιμάκωση προνομίων.
Σημείωση: Αυτή η άδεια εξαιρεί τις ομάδες που μπορούν να ανατεθούν ρόλοι Entra ID.
microsoft.directory/groups/owners/update
Αυτή η άδεια επιτρέπει να γίνετε ιδιοκτήτης ομάδων. Ένας ιδιοκτήτης ομάδας μπορεί να ελέγχει τη συμμετοχή και τις ρυθμίσεις της ομάδας, ενδεχομένως αυξάνοντας τα προνόμια στην ομάδα.
Σημείωση: Αυτή η άδεια εξαιρεί τις ομάδες που μπορούν να ανατεθούν ρόλοι Entra ID.
microsoft.directory/groups/members/update
Αυτή η άδεια επιτρέπει την προσθήκη μελών σε μια ομάδα. Ένας επιτιθέμενος θα μπορούσε να προσθέσει τον εαυτό του ή κακόβουλους λογαριασμούς σε προνομιούχες ομάδες, γεγονός που μπορεί να παραχωρήσει αυξημένη πρόσβαση.
microsoft.directory/groups/dynamicMembershipRule/update
Αυτή η άδεια επιτρέπει την ενημέρωση του κανόνα μέλους σε μια δυναμική ομάδα. Ένας επιτιθέμενος θα μπορούσε να τροποποιήσει τους δυναμικούς κανόνες για να συμπεριληφθεί σε προνομιούχες ομάδες χωρίς ρητή προσθήκη.
Σημείωση: Αυτή η άδεια εξαιρεί τις ομάδες ρόλων που είναι αναθέσιμες στο Entra ID.
Ενδέχεται να είναι δυνατό για τους χρήστες να αναβαθμίσουν τα δικαιώματά τους τροποποιώντας τις δικές τους ιδιότητες ώστε να προστεθούν ως μέλη δυναμικών ομάδων. Για περισσότερες πληροφορίες, ελέγξτε:
Az - Dynamic Groups Privescmicrosoft.directory/users/password/update
Αυτή η άδεια επιτρέπει την επαναφορά κωδικού πρόσβασης σε μη διαχειριστές χρήστες, επιτρέποντας σε έναν πιθανό επιτιθέμενο να αναβαθμίσει τα δικαιώματα σε άλλους χρήστες. Αυτή η άδεια δεν μπορεί να ανατεθεί σε προσαρμοσμένους ρόλους.
microsoft.directory/users/basic/update
Αυτή η άδεια επιτρέπει την τροποποίηση των ιδιοτήτων του χρήστη. Είναι συνηθισμένο να βρίσκουμε δυναμικές ομάδες που προσθέτουν χρήστες με βάση τις τιμές των ιδιοτήτων, επομένως, αυτή η άδεια θα μπορούσε να επιτρέψει σε έναν χρήστη να ορίσει την απαραίτητη τιμή ιδιότητας για να είναι μέλος μιας συγκεκριμένης δυναμικής ομάδας και να κλιμακώσει τα προνόμια.
Λανθασμένα ρυθμισμένες πολιτικές προσβασιμότητας με όρους που απαιτούν MFA θα μπορούσαν να παρακαμφθούν, ελέγξτε:
Az - Conditional Access Policies & MFA Bypassmicrosoft.directory/devices/registeredOwners/update
Αυτή η άδεια επιτρέπει στους επιτιθέμενους να αναθέτουν τους εαυτούς τους ως ιδιοκτήτες συσκευών για να αποκτήσουν έλεγχο ή πρόσβαση σε ρυθμίσεις και δεδομένα συγκεκριμένα για τη συσκευή.
microsoft.directory/devices/registeredUsers/update
Αυτή η άδεια επιτρέπει στους επιτιθέμενους να συσχετίσουν τον λογαριασμό τους με συσκευές για να αποκτήσουν πρόσβαση ή να παρακάμψουν τις πολιτικές ασφαλείας.
microsoft.directory/deviceLocalCredentials/password/read
Αυτή η άδεια επιτρέπει στους επιτιθέμενους να διαβάσουν τις ιδιότητες των αποθηκευμένων διαπιστευτηρίων τοπικού διαχειριστή για συσκευές που είναι συνδεδεμένες με το Microsoft Entra, συμπεριλαμβανομένου του κωδικού πρόσβασης
microsoft.directory/bitlockerKeys/key/read
Αυτή η άδεια επιτρέπει την πρόσβαση σε κλειδιά BitLocker, τα οποία θα μπορούσαν να επιτρέψουν σε έναν επιτιθέμενο να αποκρυπτογραφήσει δίσκους, θέτοντας σε κίνδυνο την εμπιστευτικότητα των δεδομένων.
microsoft.directory/applications/permissions/update
microsoft.directory/servicePrincipals/permissions/update
microsoft.directory/applications.myOrganization/allProperties/update
microsoft.directory/applications/allProperties/update
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
microsoft.directory/applications/appRoles/update
microsoft.directory/applications.myOrganization/permissions/update
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)