Az - Conditional Access Policies / MFA Bypass
Osnovne informacije
Azure Conditional Access politike su pravila postavljena u Microsoft Azure-u radi sprovođenja kontrola pristupa Azure uslugama i aplikacijama na osnovu određenih uslova. Ove politike pomažu organizacijama da obezbede svoje resurse primenom odgovarajućih kontrola pristupa u odgovarajućim okolnostima. Uslovi pristupa u osnovi definišu Ko može pristupiti Čemu sa Kojeg mesta i Kako.
Evo nekoliko primera:
Politika rizika prijavljivanja: Ova politika može biti postavljena da zahteva višestruku autentifikaciju (MFA) kada se detektuje rizik prijavljivanja. Na primer, ako je ponašanje prijavljivanja korisnika neuobičajeno u poređenju sa njihovim redovnim obrascem, kao što je prijavljivanje iz druge zemlje, sistem može zatražiti dodatnu autentifikaciju.
Politika usaglašenosti uređaja: Ova politika može ograničiti pristup Azure uslugama samo uređajima koji su usaglašeni sa sigurnosnim standardima organizacije. Na primer, pristup bi mogao biti dozvoljen samo sa uređaja koji imaju ažuriran antivirus softver ili koriste određenu verziju operativnog sistema.
Bypass-ovi uslova pristupa
Moguće je da uslov pristupa proverava neke informacije koje se lako mogu promeniti, omogućavajući zaobilaženje politike. I ako je na primer politika konfigurisala MFA, napadač će moći da je zaobiđe.
Platforme uređaja - Uslov uređaja
Moguće je postaviti uslov zasnovan na platformi uređaja (Android, iOS, Windows, macOS), međutim, ovo se zasniva na user-agent-u pa je prilično lako zaobići. Čak i ako su sve opcije postavljene da primoravaju MFA, ako koristite user-agent koji nije prepoznat, moći ćete da zaobiđete MFA.
Lokacije: Zemlje, IP opsezi - Uslov uređaja
Naravno, ako je ovo postavljeno u uslovnoj politici, napadač bi jednostavno mogao koristiti VPN u dozvoljenoj zemlji ili pokušati da pronađe način da pristupi sa dozvoljene IP adrese kako bi zaobišao ove uslove.
Office365 klijentske aplikacije
Možete naznačiti da ako klijenti pristupaju Office 365 aplikacijama preko pregledača, potrebna im je MFA:
Da biste zaobišli ovo, moguće je pretvarati se da se prijavljujete u aplikaciju sa desktop aplikacije (na primer u Microsoft Teams u sledećem primeru) što će zaobići zaštitu:
Kako Microsoft Teams aplikacija ima puno dozvola, moći ćete koristiti taj pristup.
Možete pronaći ID više javnih aplikacija sa unapred definisanim Office365 dozvolama u bazi podataka roadtools-a:
Ovaj napad je posebno zanimljiv jer će podrazumevano javne Office365 aplikacije imati dozvole za pristup određenim podacima.
Druge aplikacije
Podrazumevano, druge aplikacije koje korisnici kreiraju neće imati dozvole i mogu biti privatne. Međutim, korisnici takođe mogu kreirati javne aplikacije kojima daju određene dozvole.
Potencijalni scenario je postavljanje politike da se zahteva MFA za pristup aplikaciji kada korisnik koristi pregledač (možda zato što je to veb aplikacija i stoga će to biti jedini način), ako postoji proxy aplikacija - aplikacija kojoj je dozvoljeno da interaguje sa drugim aplikacijama u ime korisnika-, korisnik bi mogao da se prijavi u proxy aplikaciju i zatim preko te proxy aplikacije da se prijavi u početno MFA zaštićenu aplikaciju.
Proverite Invoke-MFASweep i donkeytoken tehnike.
Druge Az MFA Bypass opcije
Zvuk zvona
Jedna od opcija Azure MFA je primiti poziv na konfigurisani broj telefona gde će korisniku biti zatraženo da pošalje karakter #
.
Kako su karakteri samo tonovi, napadač bi mogao ugroziti glasovnu poštu broja telefona, konfigurisati ton #
kao poruku i zatim, prilikom zahteva za MFA, osigurati da je telefon žrtve zauzet (pozivajući ga) tako da se Azure poziv preusmeri na glasovnu poštu.
Usklađeni uređaji
Politike često zahtevaju usklađeni uređaj ili MFA, tako da napadač može registrovati usklađeni uređaj, dobiti PRT token i na taj način zaobići MFA.
Počnite sa registracijom usklađenog uređaja u Intune-u, zatim dobijte PRT sa:
Pronađite više informacija o ovom tipu napada na sledećoj stranici:
Az - Pass the PRTAlati
Dobijanje svih pravila
MFASweep je PowerShell skripta koja pokušava prijaviti se na različite Microsoft usluge koristeći pruženi set akreditiva i pokušava identifikovati da li je MFA omogućen. Zavisno o tome kako su konfigurisane politike uslovnog pristupa i druga podešavanja višefaktorskog autentikacije, neki protokoli mogu ostati jednofaktorski. Takođe ima dodatnu proveru za ADFS konfiguracije i može pokušati da se prijavi na lokalni ADFS server ako je otkriven.
Donkey token je skup funkcija koje imaju za cilj da pomognu bezbednosnim konsultantima koji treba da potvrde Politike uslovnog pristupa, testiraju portale kompanije Microsoft koji podržavaju dvofaktornu autentifikaciju, itd.
Testirajte svaki portal da li je moguće prijaviti se bez MFA:
Zato što Azure portal nije ograničen, moguće je prikupiti token sa krajnje tačke portala da bi se pristupilo bilo kojoj usluzi detektovanoj tokom prethodnog izvršavanja. U ovom slučaju, Sharepoint je identifikovan, i zatražen je token za pristup:
Pretpostavimo da token ima dozvolu Sites.Read.All (iz Sharepointa), čak i ako ne možete pristupiti Sharepointu sa veba zbog MFA, moguće je koristiti token za pristup fajlovima sa generisanim tokenom:
Reference
Last updated