Az - Illicit Consent Grant
Last updated
Last updated
Οι Εφαρμογές Azure ζητούν άδειες για πρόσβαση στα δεδομένα χρήστη (βασικές πληροφορίες, αλλά και πρόσβαση σε έγγραφα, αποστολή email...).
Αν επιτραπεί, ένας κανονικός χρήστης μπορεί να χορηγήσει συγκατάθεση μόνο για "Χαμηλή Επίδραση" άδειες. Σε όλες τις άλλες περιπτώσεις, απαιτείται συγκατάθεση διαχειριστή.
Οι ρόλοι GA
, ApplicationAdministrator
, CloudApplication
Administrator
και ένας προσαρμοσμένος ρόλος που περιλαμβάνει άδεια για τη χορήγηση άδειας σε εφαρμογές
μπορούν να παρέχουν την άδεια σε επίπεδο ενοικιαστή.
Μόνο οι άδειες που δεν απαιτούν συγκατάθεση διαχειριστή κατηγοριοποιούνται ως χαμηλής επίδρασης. Αυτές είναι οι άδειες που απαιτούνται για τη βασική σύνδεση είναι openid, profile, email, User.Read και offline_access. Αν μια οργάνωση επιτρέπει τη συγκατάθεση του χρήστη για όλες τις εφαρμογές, ένας υπάλληλος μπορεί να χορηγήσει συγκατάθεση σε μια εφαρμογή για την ανάγνωση των παραπάνω από το προφίλ τους.
Έτσι, ένας επιτιθέμενος θα μπορούσε να ετοιμάσει μια κακόβουλη εφαρμογή και με ένα phishing, να κάνει τον χρήστη αποδεχτεί την εφαρμογή και να κλέψει τα δεδομένα του.
Μη Επαληθευμένος: Από ένα εξωτερικό λογαριασμό δημιουργήστε μια εφαρμογή με τις άδειες User.Read
και User.ReadBasic.All
για παράδειγμα, κάντε phishing σε ένα χρήστη, και θα μπορείτε να έχετε πρόσβαση σε πληροφορίες καταλόγου.
Αυτό απαιτεί τον φισαρισμένο χρήστη να μπορεί να αποδεχτεί εφαρμογές OAuth από εξωτερικά περιβάλλοντα!
Επαληθευμένος: Έχοντας διαρρήξει έναν αρχέγονο με αρκετές προνομιούχες, δημιουργήστε μια εφαρμογή μέσα στον λογαριασμό και φισάρετε κάποιο προνομιούχο χρήστη που μπορεί να αποδεχτεί προνομιούχες άδειες OAuth.
Σε αυτήν την περίπτωση μπορείτε ήδη να έχετε πρόσβαση στις πληροφορίες του καταλόγου, οπότε η άδεια User.ReadBasic.All
δεν είναι πλέον ενδιαφέρουσα.
Είστε πιθανόν ενδιαφερόμενοι για τις άδειες που απαιτούν από διαχειριστή να τις χορηγήσει, επειδή ο ροές χρήστης δεν μπορεί να δώσει σε εφαρμογές OAuth καμία άδεια, γι' αυτό χρειάζεται να φισάρετε μόνο αυτούς τους χρήστες (περισσότερα για ποιους ρόλους/άδειες χορηγούν αυτό το προνόμιο αργότερα)
Η παρακάτω εντολή PowerShell χρησιμοποιείται για να ελέγξει τη διαμόρφωση της συγκατάθεσης για τους χρήστες στο Azure Active Directory (Azure AD) όσον αφορά τη δυνατότητά τους να χορηγήσουν συγκατάθεση σε εφαρμογές:
Απενεργοποίηση συγκατάθεσης χρήστη: Αυτή η ρύθμιση απαγορεύει στους χρήστες να χορηγούν άδειες σε εφαρμογές. Δεν επιτρέπεται η συγκατάθεση των χρηστών σε εφαρμογές.
Οι χρήστες μπορούν να χορηγήσουν άδειες σε εφαρμογές από επαληθευμένους εκδότες ή τον οργανισμό σας, αλλά μόνο για τις άδειες που επιλέγετε: Αυτή η ρύθμιση επιτρέπει σε όλους τους χρήστες να χορηγούν άδειες μόνο σε εφαρμογές που έχουν δημοσιευτεί από έναν επαληθευμένο εκδότη και εφαρμογές που έχουν εγγραφεί στον δικό σας ενοικιαστή. Προσθέτει ένα επίπεδο ελέγχου επιτρέποντας τη συγκατάθεση μόνο για συγκεκριμένες άδειες.
Οι χρήστες μπορούν να χορηγήσουν άδειες σε όλες τις εφαρμογές: Αυτή η ρύθμιση είναι πιο επιεικής και επιτρέπει σε όλους τους χρήστες να χορηγούν άδειες για οποιεσδήποτε άδειες σε εφαρμογές, όσον αφορά αυτές οι άδειες δεν απαιτούν διοικητική συγκατάθεση.
Προσαρμοσμένη πολιτική συγκατάθεσης εφαρμογής: Αυτή η ρύθμιση υποδηλώνει ότι υπάρχει μια προσαρμοσμένη πολιτική που μπορεί να προσαρμοστεί στις συγκεκριμένες οργανωτικές απαιτήσεις και μπορεί να περιλαμβάνει μια συνδυασμένη περιοριστική πολιτική βασισμένη στον εκδότη της εφαρμογής, τις άδειες που ζητά η εφαρμογή και άλλους παράγοντες.
Σε μια επίθεση παράνομης χορήγησης συγκατάθεσης, οι επιτιθέμενοι εξαπατούν τους τελικούς χρήστες να χορηγήσουν άδειες σε μια κακόβουλη εφαρμογή που έχει καταχωρηθεί με το Azure. Αυτό επιτυγχάνεται κάνοντας την εφαρμογή να φαίνεται νόμιμη, οδηγώντας τα θύματα να κάνουν κλικ ανυποψίαστα σε ένα κουμπί "Αποδοχή". Ως αποτέλεσμα, το Azure AD εκδίδει ένα τεκμήριο στον ιστότοπο του επιτιθέμενου, επιτρέποντάς του να έχει πρόσβαση και να χειρίζεται τα δεδομένα του θύματος, όπως την ανάγνωση ή αποστολή email και την πρόσβαση σε αρχεία, χωρίς την ανάγκη ενός οργανισμικού λογαριασμού.
Η επίθεση περιλαμβάνει αρκετά βήματα που στοχεύουν σε μια γενική εταιρεία. Εδώ είναι πώς θα μπορούσε να εξελιχθεί:
Καταχώριση Domain και Φιλοξενία Εφαρμογής: Ο επιτιθέμενος καταχωρεί ένα domain που μοιάζει με ένα αξιόπιστο site, για παράδειγμα, "safedomainlogin.com". Κάτω από αυτό το domain, δημιουργείται ένα subdomain (π.χ., "companyname.safedomainlogin.com") για να φιλοξενήσει μια εφαρμογή σχεδιασμένη να αιχμαλωτίζει κωδικούς εξουσιοδότησης και να ζητά πρόσβαση σε τεκμήρια.
Καταχώριση Εφαρμογής στο Azure AD: Ο επιτιθέμενος καταχωρεί στον Azure AD Tenant του μια Εφαρμογή Πολλαπλών Ενοικιαστών, την ονομάζει με το όνομα της εταιρείας-στόχου για να φαίνεται νόμιμη. Διαμορφώνει το Redirect URL της εφαρμογής για να δείχνει στο subdomain που φιλοξενεί την κακόβουλη εφαρμογή.
Ρύθμιση Άδειών: Ο επιτιθέμενος ρυθμίζει την εφαρμογή με διάφορες άδειες API (π.χ., Mail.Read
, Notes.Read.All
, Files.ReadWrite.All
, User.ReadBasic.All
, User.Read
). Αυτές οι άδειες, μόλις χορηγηθούν από τον χρήστη, επιτρέπουν στον επιτιθέμενο να εξάγει ευαίσθητες πληροφορίες εκ μέρους του χρήστη.
Διανομή Κακόβουλων Συνδέσμων: Ο επιτιθέμενος δημιουργεί έναν σύνδεσμο που περιέχει τον αριθμό πελάτη της κακόβουλης εφαρμογής και τον μοιράζεται με στοχευμένους χρήστες, εξαπατώντας τους να χορηγήσουν συγκατάθεση.
Η επίθεση μπορεί να διευκολυνθεί χρησιμοποιώντας εργαλεία όπως το 365-Stealer.
Αν ο επιτιθέμενος έχει κάποιο επίπεδο πρόσβασης σε έναν χρήστη στον οργανισμό-θύμα, μπορεί να ελέγξει αν η πολιτική του οργανισμού επιτρέπει στον χρήστη να αποδεχτεί εφαρμογές:
Για την εκτέλεση της επίθεσης, ο εισβολέας θα χρειαστεί να δημιουργήσει μια νέα εφαρμογή στο Azure Tenant τους (στις εγγραφές εφαρμογών), που θα πρέπει να ρυθμιστεί με τις άδειες:
Το User.ReadBasic.All
βρίσκεται μέσα στο Microsoft Graph
στις Delegated permissions
. (Οι δικαιώματα εφαρμογής θα χρειαστούν πάντα επιπλέον έγκριση).
Το User.ReadBasic.All
είναι η άδεια που θα σας επιτρέψει να διαβάσετε πληροφορίες όλων των χρηστών στον οργανισμό εάν χορηγηθεί.
Θυμηθείτε ότι μόνο οι ρόλοι GA
, ApplicationAdministrator
, CloudApplication Administrator
και ένα προσαρμοσμένος ρόλος που περιλαμβάνει την άδεια για τη χορήγηση δικαιωμάτων σε εφαρμογές
μπορούν να παρέχουν συγκατάθεση σε επίπεδο Tenant. Έτσι, θα πρέπει να ψαρέψετε έναν χρήστη με έναν από αυτούς τους ρόλους αν θέλετε να του ζητήσετε να εγκρίνει μια Εφαρμογή που απαιτεί διαχειριστική συγκατάθεση.
Μπορείτε επίσης να δημιουργήσετε μια Εφαρμογή μέσω της γραμμής εντολών με:
Ελέγξτε το https://www.alteredsecurity.com/post/introduction-to-365-stealer για να μάθετε πώς να το ρυθμίσετε.
Σημειώστε ότι το ληφθέν access token θα είναι για το graph endpoint με τα scopes: User.Read
και User.ReadBasic.All
(οι ζητούμενες άδειες). Δεν θα μπορείτε να εκτελέσετε άλλες ενέργειες (αλλά αυτές είναι αρκετές για να κατεβάσετε πληροφορίες για όλους τους χρήστες στον οργανισμό).
Μπορείτε επίσης να χρησιμοποιήσετε αυτό το εργαλείο για να πραγματοποιήσετε αυτήν την επίθεση.
Μόλις αποκτήσετε πρόσβαση στον χρήστη, μπορείτε να κάνετε πράγματα όπως να κλέψετε ευαίσθητα έγγραφα και ακόμη και να ανεβάσετε έγγραφα με backdoor.