Az - PHS - Password Hash Sync
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
From the docs: パスワードハッシュの同期は、ハイブリッドアイデンティティを実現するために使用されるサインイン方法の1つです。 Azure AD Connectは、オンプレミスのActive DirectoryインスタンスからクラウドベースのAzure ADインスタンスにユーザーのパスワードのハッシュのハッシュを同期します。
これは、企業がオンプレミスのADをAzure ADと同期させるために使用する最も一般的な方法です。
すべてのユーザーとパスワードハッシュのハッシュがオンプレミスからAzure ADに同期されます。ただし、平文のパスワードや元の ハッシュはAzure ADに送信されません。 さらに、組み込みのセキュリティグループ(ドメイン管理者など)はAzure ADに同期されません。
ハッシュの同期は2分ごとに行われます。ただし、デフォルトでは、パスワードの有効期限とアカウントの有効期限はAzure ADに同期されません。したがって、オンプレミスのパスワードが期限切れ(変更されていない)であるユーザーは、古いパスワードを使用してAzureリソースにアクセスし続けることができます。
オンプレミスのユーザーがAzureリソースにアクセスしようとすると、認証はAzure ADで行われます。
PHSは、アイデンティティ保護やAADドメインサービスなどの機能に必要です。
PHSが構成されると、いくつかの特権アカウントが自動的に作成されます:
アカウント**MSOL_<installationID>
は、オンプレミスADに自動的に作成されます。このアカウントにはディレクトリ同期アカウントの役割が与えられています(ドキュメントを参照)これは、オンプレミスADでレプリケーション(DCSync)権限**を持っていることを意味します。
アカウント**Sync_<name of on-prem ADConnect Server>_installationID
がAzure ADに作成されます。このアカウントは、Azure AD内の任意のユーザー**(同期されたユーザーまたはクラウド専用ユーザー)のパスワードをリセットできます。
これらの2つの特権アカウントのパスワードは、Azure AD ConnectがインストールされているサーバーのSQLサーバーに保存されています。管理者は、これらの特権ユーザーの平文のパスワードを抽出できます。
データベースはC:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf
にあります。
テーブルの1つから構成を抽出することが可能で、1つは暗号化されています:
SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;
暗号化された構成はDPAPIで暗号化されており、オンプレミスADの**MSOL_*
ユーザーのパスワードとAzureADのSync_***のパスワードを含んでいます。したがって、これらを侵害することでADおよびAzureADへの権限昇格が可能です。
これらの資格情報がどのように保存され、復号化されるかの完全な概要はこのトークで見つけることができます。
Azure AD Connectがインストールされているサーバーがドメインに参加している場合(ドキュメントで推奨されている)、次の方法で見つけることができます:
これらの資格情報を取得するために、adconnectdumpを使用することもできます。
Sync_*
アカウントを侵害することで、任意のユーザー(グローバル管理者を含む)のパスワードをリセットすることが可能です。
クラウドユーザーのパスワードのみを変更することも可能です(予期しない場合でも)。
このユーザーのパスワードをダンプすることも可能です。
別のオプションは、サービスプリンシパルに特権のある権限を割り当てることで、Syncユーザーが権限を持っているため、そのサービスプリンシパルにアクセスすることで権限昇格を行うことです。
PHSを使用してシームレスSSOを利用することが可能で、他の悪用に対して脆弱です。以下で確認してください:
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)