Az - Device Registration
Last updated
Last updated
Impara e pratica il Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Quando un dispositivo si unisce ad AzureAD, viene creato un nuovo oggetto in AzureAD.
Quando si registra un dispositivo, all'utente viene chiesto di accedere con il proprio account (richiedendo MFA se necessario), quindi richiede token per il servizio di registrazione del dispositivo e poi chiede una conferma finale.
Successivamente, vengono generati due coppie di chiavi RSA nel dispositivo: La chiave del dispositivo (chiave pubblica) che viene inviata ad AzureAD e la chiave di trasporto (chiave privata) che viene memorizzata nel TPM se possibile.
Infine, l'oggetto viene generato in AzureAD (non in Intune) e AzureAD restituisce al dispositivo un certificato firmato da esso. Puoi controllare che il dispositivo sia unito ad AzureAD e le informazioni sul certificato (come se è protetto da TPM).
Dopo la registrazione del dispositivo, un Primary Refresh Token viene richiesto dal modulo LSASS CloudAP e fornito al dispositivo. Con il PRT viene anche consegnata la chiave di sessione crittografata in modo che solo il dispositivo possa decrittarla (utilizzando la chiave pubblica della chiave di trasporto) ed è necessaria per utilizzare il PRT.
Per ulteriori informazioni su cosa sia un PRT, controlla:
Az - Primary Refresh Token (PRT)Il TPM protegge contro l'estrazione della chiave da un dispositivo spento (se protetto da PIN) e dall'estrazione del materiale privato dallo strato OS. Ma non protegge contro il sniffing della connessione fisica tra il TPM e la CPU o l'uso del materiale crittografico nel TPM mentre il sistema è in esecuzione da un processo con diritti SYSTEM.
Se controlli la pagina seguente, vedrai che rubare il PRT può essere utilizzato per accedere come un utente, il che è ottimo perché il PRT si trova nei dispositivi, quindi può essere rubato da essi (o se non rubato, abusato per generare nuove chiavi di firma):
Az - Pass the PRTSarebbe possibile per un attaccante richiedere un token per il servizio di registrazione dei dispositivi Microsoft dal dispositivo compromesso e registrarlo:
Quale ti darà un certificato che puoi usare per richiedere PRT in futuro. Pertanto, mantenendo la persistenza e bypassando MFA perché il token PRT originale utilizzato per registrare il nuovo dispositivo aveva già i permessi MFA concessi.
Nota che per eseguire questo attacco avrai bisogno di permessi per registrare nuovi dispositivi. Inoltre, registrare un dispositivo non significa che il dispositivo sarà autorizzato a iscriversi a Intune.
Questo attacco è stato risolto a settembre 2021 poiché non puoi più registrare nuovi dispositivi utilizzando token SSO. Tuttavia, è ancora possibile registrare dispositivi in modo legittimo (avendo nome utente, password e MFA se necessario). Controlla: roadtx.
Era possibile richiedere un ticket dispositivo, sovrascrivere quello attuale del dispositivo e durante il flusso rubare il PRT (quindi non è necessario rubarlo dal TPM. Per maggiori informazioni controlla questo intervento.
Tuttavia, questo è stato risolto.
Controlla le diapositive originali qui
Riepilogo dell'attacco:
È possibile sovrascrivere la chiave WHFB registrata da un dispositivo tramite SSO
Questo annulla la protezione TPM poiché la chiave viene catturata durante la generazione della nuova chiave
Questo fornisce anche persistenza
Gli utenti possono modificare la propria proprietà searchableDeviceKey tramite l'Azure AD Graph, tuttavia, l'attaccante deve avere un dispositivo nel tenant (registrato al volo o avendo rubato certificato + chiave da un dispositivo legittimo) e un token di accesso valido per l'AAD Graph.
Quindi, è possibile generare una nuova chiave con:
e poi PATCH le informazioni di searchableDeviceKey:
È possibile ottenere un token di accesso da un utente tramite device code phishing e abusare dei passaggi precedenti per rubare il suo accesso. Per ulteriori informazioni, controlla:
Az - Phishing Primary Refresh Token (Microsoft Entra)Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)