Az - Federation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
From the docs:La federazione è un insieme di domini che hanno stabilito fiducia. Il livello di fiducia può variare, ma tipicamente include autenticazione e quasi sempre include autorizzazione. Una federazione tipica potrebbe includere un numero di organizzazioni che hanno stabilito fiducia per un accesso condiviso a un insieme di risorse.
Puoi federare il tuo ambiente on-premises con Azure AD e utilizzare questa federazione per l'autenticazione e l'autorizzazione. Questo metodo di accesso garantisce che tutta l'autenticazione degli utenti avvenga on-premises. Questo metodo consente agli amministratori di implementare livelli di controllo degli accessi più rigorosi. La federazione con AD FS e PingFederate è disponibile.
Fondamentalmente, nella Federazione, tutta l'autenticazione avviene nell'ambiente on-prem e l'utente sperimenta SSO in tutti gli ambienti fidati. Pertanto, gli utenti possono accedere alle applicazioni cloud utilizzando le proprie credenziali on-prem.
Security Assertion Markup Language (SAML) è utilizzato per scambiare tutte le informazioni di autenticazione e autorizzazione tra i fornitori.
In qualsiasi configurazione di federazione ci sono tre parti:
Utente o Client
Identity Provider (IdP)
Service Provider (SP)
(Images from https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps)
Inizialmente, un'applicazione (Service Provider o SP, come la console AWS o il client web vSphere) viene accessibile da un utente. Questo passaggio potrebbe essere bypassato, portando il client direttamente all'IdP (Identity Provider) a seconda dell'implementazione specifica.
Successivamente, lo SP identifica l'IdP appropriato (ad es., AD FS, Okta) per l'autenticazione dell'utente. Quindi crea una SAML (Security Assertion Markup Language) AuthnRequest e reindirizza il client all'IdP scelto.
L'IdP prende il controllo, autenticando l'utente. Dopo l'autenticazione, una SAMLResponse viene formulata dall'IdP e inoltrata allo SP attraverso l'utente.
Infine, lo SP valuta la SAMLResponse. Se convalidata con successo, implicando una relazione di fiducia con l'IdP, all'utente viene concesso l'accesso. Questo segna il completamento del processo di accesso, consentendo all'utente di utilizzare il servizio.
Se vuoi saperne di più sull'autenticazione SAML e sugli attacchi comuni vai a:
AD FS è un modello di identità basato su affermazioni.
"..le affermazioni sono semplicemente dichiarazioni (ad esempio, nome, identità, gruppo), fatte sugli utenti, utilizzate principalmente per autorizzare l'accesso ad applicazioni basate su affermazioni situate ovunque su Internet."
Le affermazioni per un utente sono scritte all'interno dei token SAML e poi firmate per fornire riservatezza da parte dell'IdP.
Un utente è identificato da ImmutableID. È globalmente unico e memorizzato in Azure AD.
L'ImmutableID è memorizzato on-prem come ms-DS-ConsistencyGuid per l'utente e/o può essere derivato dal GUID dell'utente.
Attacco Golden SAML:
In ADFS, la SAML Response è firmata da un certificato di firma del token.
Se il certificato è compromesso, è possibile autenticarsi su Azure AD come QUALSIASI utente sincronizzato con Azure AD!
Proprio come il nostro abuso di PTA, la modifica della password per un utente o MFA non avrà alcun effetto perché stiamo falsificando la risposta di autenticazione.
Il certificato può essere estratto dal server AD FS con privilegi DA e poi può essere utilizzato da qualsiasi macchina connessa a Internet.
Il processo in cui un Identity Provider (IdP) produce una SAMLResponse per autorizzare l'accesso dell'utente è fondamentale. A seconda dell'implementazione specifica dell'IdP, la risposta potrebbe essere firmata o crittografata utilizzando la chiave privata dell'IdP. Questa procedura consente al Service Provider (SP) di confermare l'autenticità della SAMLResponse, assicurando che sia stata effettivamente emessa da un IdP fidato.
Si può tracciare un parallelo con l'attacco golden ticket, dove la chiave che autentica l'identità e i permessi dell'utente (KRBTGT per i golden ticket, chiave privata di firma del token per il golden SAML) può essere manipolata per forgiare un oggetto di autenticazione (TGT o SAMLResponse). Questo consente l'impersonificazione di qualsiasi utente, concedendo accesso non autorizzato allo SP.
I Golden SAML offrono alcuni vantaggi:
Possono essere creati da remoto, senza la necessità di far parte del dominio o della federazione in questione.
Rimangono efficaci anche con l'autenticazione a due fattori (2FA) abilitata.
La chiave privata di firma del token non si rinnova automaticamente.
Cambiare la password di un utente non invalida un SAML già generato.
Active Directory Federation Services (AD FS) è un servizio Microsoft che facilita il scambio sicuro di informazioni di identità tra partner commerciali fidati (federazione). Consente essenzialmente a un servizio di dominio di condividere identità utente con altri fornitori di servizi all'interno di una federazione.
Con AWS che si fida del dominio compromesso (in una federazione), questa vulnerabilità può essere sfruttata per acquisire qualsiasi permesso nell'ambiente AWS. L'attacco richiede la chiave privata utilizzata per firmare gli oggetti SAML, simile alla necessità del KRBTGT in un attacco golden ticket. L'accesso all'account utente AD FS è sufficiente per ottenere questa chiave privata.
I requisiti per eseguire un attacco golden SAML includono:
Chiave privata di firma del token
Certificato pubblico dell'IdP
Nome dell'IdP
Nome del ruolo (ruolo da assumere)
Dominio\username
Nome della sessione del ruolo in AWS
ID account Amazon
Solo gli elementi in grassetto sono obbligatori. Gli altri possono essere compilati a piacere.
Per acquisire la chiave privata, è necessario l'accesso all'account utente AD FS. Da lì, la chiave privata può essere esportata dal negozio personale utilizzando strumenti come mimikatz. Per raccogliere le altre informazioni richieste, puoi utilizzare il modulo Microsoft.Adfs.Powershell come segue, assicurandoti di essere connesso come utente ADFS:
Con tutte le informazioni, è possibile dimenticare un SAMLResponse valido come l'utente che si desidera impersonare utilizzando shimit:
È anche possibile creare ImmutableID di utenti solo cloud e impersonarli.
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)