Az - Device Registration
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
जब एक डिवाइस AzureAD में शामिल होता है, तो AzureAD में एक नया ऑब्जेक्ट बनाया जाता है।
जब एक डिवाइस को पंजीकृत किया जाता है, तो उपयोगकर्ता से उसके खाते के साथ लॉगिन करने के लिए कहा जाता है (यदि आवश्यक हो तो MFA के लिए पूछता है), फिर यह डिवाइस पंजीकरण सेवा के लिए टोकन का अनुरोध करता है और फिर अंतिम पुष्टि संकेत पूछता है।
फिर, डिवाइस में दो RSA की जोड़े उत्पन्न होते हैं: डिवाइस कुंजी (सार्वजनिक कुंजी) जिसे AzureAD को भेजा जाता है और परिवहन कुंजी (निजी कुंजी) जिसे यदि संभव हो तो TPM में संग्रहीत किया जाता है।
फिर, ऑब्जेक्ट AzureAD में उत्पन्न होता है (Intune में नहीं) और AzureAD डिवाइस को एक प्रमाणपत्र वापस देता है जिसे इसके द्वारा हस्ताक्षरित किया गया है। आप यह जांच सकते हैं कि डिवाइस AzureAD से जुड़ा है और प्रमाणपत्र के बारे में जानकारी (जैसे कि क्या यह TPM द्वारा सुरक्षित है)।
डिवाइस पंजीकरण के बाद, प्राथमिक रिफ्रेश टोकन LSASS CloudAP मॉड्यूल द्वारा अनुरोध किया जाता है और डिवाइस को दिया जाता है। PRT के साथ सत्र कुंजी एन्क्रिप्ट की जाती है ताकि केवल डिवाइस इसे डिक्रिप्ट कर सके (परिवहन कुंजी के सार्वजनिक कुंजी का उपयोग करके) और इसे PRT का उपयोग करने के लिए आवश्यक है।
PRT क्या है, इसके बारे में अधिक जानकारी के लिए देखें:
TPM कुंजी निकासी के खिलाफ एक बंद डिवाइस (यदि पिन द्वारा सुरक्षित) से और OS परत से निजी सामग्री निकालने से सुरक्षित करता है। लेकिन यह **TPM और CPU के बीच भौतिक कनेक्शन की स्निफिंग के खिलाफ सुरक्षित नहीं करता या SYSTEM अधिकारों के साथ एक प्रक्रिया से सिस्टम चलने के दौरान TPM में क्रिप्टोग्राफिक सामग्री का उपयोग करने के खिलाफ सुरक्षित नहीं करता।
यदि आप निम्नलिखित पृष्ठ की जांच करते हैं, तो आप देखेंगे कि PRT चुराना उपयोगकर्ता के रूप में पहुंच प्राप्त करने के लिए उपयोग किया जा सकता है, जो शानदार है क्योंकि PRT डिवाइस में स्थित है, इसलिए इसे उनसे चुराया जा सकता है (या यदि चुराया नहीं गया तो नए साइनिंग कुंजी उत्पन्न करने के लिए दुरुपयोग किया जा सकता है):
एक हमलावर के लिए समझौता किए गए डिवाइस से Microsoft डिवाइस पंजीकरण सेवा के लिए एक टोकन अनुरोध करना और इसे पंजीकृत करना संभव होगा:
जो आपको प्रमाणपत्र देगा जिसका उपयोग आप भविष्य में PRTs के लिए पूछने के लिए कर सकते हैं। इसलिए स्थिरता बनाए रखना और MFA को बायपास करना क्योंकि नए डिवाइस को पंजीकृत करने के लिए उपयोग किया गया मूल PRT टोकन पहले से ही MFA अनुमतियाँ दी गई थीं।
ध्यान दें कि इस हमले को करने के लिए आपको नए उपकरणों को पंजीकृत करने की अनुमति की आवश्यकता होगी। इसके अलावा, एक डिवाइस को पंजीकृत करना यह नहीं दर्शाता कि डिवाइस Intune में नामांकित होने की अनुमति दी जाएगी।
यह हमला सितंबर 2021 में ठीक किया गया था क्योंकि आप अब SSO टोकन का उपयोग करके नए उपकरणों को पंजीकृत नहीं कर सकते। हालाँकि, एक वैध तरीके से उपकरणों को पंजीकृत करना अभी भी संभव है (यदि आवश्यक हो तो उपयोगकर्ता नाम, पासवर्ड और MFA होना)। जांचें: roadtx।
यह डिवाइस टिकट अनुरोध करना, डिवाइस के वर्तमान को ओवरराइट करना संभव था, और प्रवाह के दौरान PRT चुराना (इसलिए इसे TPM से चुराने की आवश्यकता नहीं है। अधिक जानकारी के लिए इस वार्ता की जांच करें।
हालांकि, इसे ठीक किया गया था।
हमले का सारांश:
यह SSO के माध्यम से एक डिवाइस से पंजीकृत WHFB कुंजी को ओवरराइट करना संभव है
यह TPM सुरक्षा को पराजित करता है क्योंकि कुंजी नई कुंजी के निर्माण के दौरान स्निफ की जाती है
यह स्थिरता भी प्रदान करता है
उपयोगकर्ता Azure AD ग्राफ़ के माध्यम से अपनी स्वयं की searchableDeviceKey संपत्ति को संशोधित कर सकते हैं, हालाँकि, हमलावर के पास टेनेट में एक डिवाइस होना चाहिए (फ्लाई पर पंजीकृत या एक वैध डिवाइस से प्रमाणपत्र + कुंजी चुराई गई) और AAD ग्राफ़ के लिए एक मान्य एक्सेस टोकन होना चाहिए।
फिर, यह संभव है कि एक नई कुंजी उत्पन्न की जाए:
और फिर searchableDeviceKey की जानकारी को PATCH करें:
एक उपयोगकर्ता से device code phishing के माध्यम से एक एक्सेस टोकन प्राप्त करना संभव है और पिछले चरणों का दुरुपयोग करके उसकी एक्सेस चुराना। अधिक जानकारी के लिए देखें:
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)