Az - Seamless SSO
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
From the docs: Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) は、企業ネットワークに接続された企業デバイス上にいるときに自動的にユーザーをサインインさせます。有効にすると、ユーザーはAzure ADにサインインするためにパスワードを入力する必要がなく、通常はユーザー名すら入力する必要がありません。この機能により、ユーザーは追加のオンプレミスコンポーネントなしで、クラウドベースのアプリケーションに簡単にアクセスできます。
基本的に、Azure AD Seamless SSOは、オンプレミスのドメインに参加しているPC上にいるときにユーザーをサインインさせます。
これは、PHS (パスワードハッシュ同期) と PTA (パススルー認証) の両方でサポートされています。
デスクトップSSOは、Kerberosを使用して認証を行います。構成されると、Azure AD ConnectはオンプレミスADにAZUREADSSOACC$
というコンピュータアカウントを作成します。AZUREADSSOACC$
アカウントのパスワードは、構成中に平文でAzure ADに送信されます。
Kerberosチケットは、パスワードのNTHash (MD4)を使用して暗号化され、Azure ADは送信されたパスワードを使用してチケットを復号化します。
Azure ADは、Kerberos チケットを受け入れるエンドポイント (https://autologon.microsoftazuread-sso.com) を公開しています。ドメイン参加したマシンのブラウザは、SSOのためにこのエンドポイントにチケットを転送します。
ユーザーの**AZUREADSSOACC$
のパスワードは決して変更されません。したがって、ドメイン管理者はこのアカウントのハッシュを危険にさらし、それを使用してシルバーチケットを作成し、任意のオンプレミスユーザーと同期してAzureに接続することができます。
ハッシュを使用して、シルバーチケットを生成できます:
To utilize the silver ticket, the following steps should be executed:
ブラウザを起動: Mozilla Firefoxを起動します。
ブラウザを設定:
**about:config
**に移動します。
network.negotiate-auth.trusted-urisの設定を指定された値にします:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
ウェブアプリケーションにアクセス:
組織のAADドメインに統合されたウェブアプリケーションにアクセスします。一般的な例はOffice 365です。
認証プロセス:
ログイン画面で、ユーザー名を入力し、パスワードフィールドは空白のままにします。
続行するには、TABまたはENTERを押します。
これにより、MFAが有効な場合はバイパスされません
この攻撃は、dcsync攻撃なしで実行することも可能で、このブログ記事で説明されています。そのためには、次のいずれかが必要です:
ゴールデンチケット: KRBTGTキーがあれば、攻撃対象のユーザーに必要なTGTを作成できます。
侵害されたユーザーのNTLMハッシュまたはAESキー: SeamlessPassは、この情報を使用してドメインコントローラーと通信し、TGTを生成します。
AZUREADSSOACC$アカウントのNTLMハッシュまたはAESキー: この情報と攻撃対象のユーザーのセキュリティ識別子(SID)を使用して、サービスチケットを作成し、クラウドに認証することが可能です(前の方法で実行されたように)。
最後に、TGTを使用して、SeamlessPassツールを使用することができます:
シームレスSSOでFirefoxを動作させるためのさらなる情報は、このブログ記事で確認できます。
Active Directory管理者がAzure AD Connectにアクセスできる場合、クラウドユーザーのSIDを設定することができます。この方法でKerberos チケットはクラウド専用ユーザーのためにも作成できます。唯一の要件は、SIDが適切なSIDであることです。
クラウド専用管理ユーザーのSIDの変更は現在Microsoftによってブロックされています。 詳細はhttps://aadinternals.com/post/on-prem_admin/を確認してください。
このアカウントが存在するコンテナまたはOU内のコンピューターアカウント(AZUREADSSOACC$
)を管理できる人は、アカウントに対してリソースベースの制約付き委任を構成し、アクセスすることができます。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)