Az - Device Registration
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
デバイスがAzureADに参加すると、新しいオブジェクトがAzureADに作成されます。
デバイスを登録する際、ユーザーは自分のアカウントでログインするよう求められ(必要に応じてMFAを要求)、次にデバイス登録サービスのトークンを要求し、最後に確認プロンプトを求めます。
その後、デバイス内に2つのRSAキーペアが生成されます:デバイスキー(公開キー)はAzureADに送信され、トランスポートキー(秘密キー)は可能であればTPMに保存されます。
次に、オブジェクトがAzureADに生成され(Intuneではなく)、AzureADはデバイスに署名された証明書を返します。デバイスがAzureADに参加しているか、および証明書に関する情報(TPMで保護されているかどうかなど)を確認できます。
デバイス登録後、プライマリリフレッシュトークンがLSASS CloudAPモジュールによって要求され、デバイスに渡されます。PRTには、デバイスのみが復号化できるように暗号化されたセッションキー(トランスポートキーの公開鍵を使用)も提供され、PRTを使用するために必要です。
PRTについての詳細は以下を確認してください:
Az - Primary Refresh Token (PRT)TPMは、電源がオフのデバイスからのキー抽出(PINで保護されている場合)や、OS層からのプライベートマテリアルの抽出に対して保護します。 しかし、TPMとCPUの間の物理接続をスニッフィングすることや、システムが実行中のプロセスがSYSTEM権限を持っている場合にTPM内の暗号材料を使用することに対しては保護しません。
以下のページを確認すると、PRTを盗むことがユーザーとしてアクセスするために使用できることがわかります。これは素晴らしいことです。なぜなら、PRTはデバイスに存在するため、それらから盗まれる可能性があるからです(または盗まれなくても新しい署名キーを生成するために悪用される可能性があります):
Az - Pass the PRT攻撃者が侵害されたデバイスからMicrosoftデバイス登録サービスのトークンを要求し、登録することが可能です:
どのようにして将来PRTを要求するために使用できる証明書を取得するか。したがって、持続性を維持し、MFAをバイパスすることができます。なぜなら、新しいデバイスを登録するために使用された元のPRTトークンはすでにMFA権限が付与されていたからです。
この攻撃を実行するには、新しいデバイスを登録する権限が必要です。また、デバイスを登録することは、そのデバイスがIntuneに登録されることが許可されることを意味しません。
この攻撃は2021年9月に修正され、もはやSSOトークンを使用して新しいデバイスを登録することはできません。しかし、正当な方法でデバイスを登録することはまだ可能です(必要に応じてユーザー名、パスワード、MFAを持っていること)。確認してください: roadtx。
デバイスタイプを要求することができ、デバイスの現在のものを上書きし、フロー中にPRTを盗むことができました(TPMから盗む必要はありません。詳細についてはこのトークを確認してください)。
ただし、これは修正されました。
攻撃の概要:
SSOを介してデバイスの登録されたWHFBキーを上書きすることが可能です
新しいキーの生成中にキーがスニッフィングされるため、TPM保護を打破します
これにより持続性も提供されます
ユーザーはAzure AD Graphを介して自分のsearchableDeviceKeyプロパティを変更できますが、攻撃者はテナント内にデバイスを持っている必要があります(その場で登録されたか、正当なデバイスから証明書とキーを盗んだ場合)およびAAD Graphの有効なアクセストークンが必要です。
次に、次のように新しいキーを生成することが可能です:
そして、searchableDeviceKeyの情報をPATCHします:
デバイスコードフィッシングを通じてユーザーからアクセストークンを取得し、前のステップを悪用して彼のアクセスを盗むことが可能です。詳細については、以下を確認してください:
Az - Phishing Primary Refresh Token (Microsoft Entra)AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)