Az - Device Registration
Osnovne informacije
Kada se uređaj pridruži AzureAD-u, novi objekat se kreira u AzureAD-u.
Prilikom registracije uređaja, korisniku se traži da se prijavi sa svojim nalogom (traži se MFA ako je potrebno), zatim se zahtevaju tokeni za uslugu registracije uređaja, nakon čega se postavlja konačni prozor za potvrdu.
Zatim se generišu dva RSA para ključeva na uređaju: ključ uređaja (javni ključ) koji se šalje u AzureAD i transportni ključ (privatni ključ) koji se čuva u TPM-u ako je moguće.
Zatim se generiše objekat u AzureAD-u (ne u Intune-u) i AzureAD vraća uređaju sertifikat potpisan od strane njega. Možete proveriti da li je uređaj pridružen AzureAD-u i informacije o sertifikatu (kao što je da li je zaštićen TPM-om).
Nakon registracije uređaja, Primarni osvežavajući token se zahteva od LSASS CloudAP modula i dodeljuje uređaju. Uz PRT se takođe dostavlja sesijski ključ enkriptovan tako da ga samo uređaj može dešifrovati (koristeći javni ključ transportnog ključa) i potreban je za korišćenje PRT-a.
Za više informacija o tome šta je PRT proverite:
Az - Primary Refresh Token (PRT)TPM - Modul pouzdanog platformskog modula
TPM štiti od izvlačenja ključeva sa isključenog uređaja (ako je zaštićen PIN-om) i od izvlačenja privatnog materijala sa nivoa OS-a. Međutim, ne štiti od snifovanja fizičke veze između TPM-a i CPU-a ili korišćenja kriptografskog materijala u TPM-u dok sistem radi iz procesa sa pravima SISTEMA.
Ako proverite sledeću stranicu, videćete da ukradeni PRT može biti korišćen za pristup kao korisnik, što je odlično jer se PRT nalazi na uređajima, pa može biti ukraden sa njih (ili ako nije ukraden, zloupotrebljen za generisanje novih potpisnih ključeva):
Az - Pass the PRTRegistracija uređaja sa SSO tokenima
Bilo bi moguće da napadač zatraži token za Microsoft uslugu registracije uređaja sa kompromitovanog uređaja i registruje ga:
Prepisivanje tiketa uređaja
Bilo je moguće zatražiti tiket uređaja, prepisati trenutni tiket uređaja, i tokom toga ukrasti PRT (tako da nije potrebno ukrasti ga sa TPM-a. Za više informacija proverite ovaj govor.
Međutim, ovo je ispravljeno.
Prepisivanje WHFB ključa
Proverite originalne slajdove ovde
Sažetak napada:
Moguće je prepisati registrovani WHFB ključ sa uređaja putem SSO
Pobedjuje TPM zaštitu jer je ključ uhvaćen tokom generisanja novog ključa
Ovo takođe pruža upornost
Korisnici mogu izmeniti svoj sopstveni searchableDeviceKey svojstvo putem Azure AD Graph-a, međutim, napadač mora imati uređaj u zakupu (registrovan na brzinu ili ukraden sertifikat + ključ sa legitimnog uređaja) i validan pristupni token za AAD Graph.
Zatim, moguće je generisati novi ključ sa:
i zatim IZMENITE informacije o searchableDeviceKey:
Moguće je dobiti pristupni token od korisnika putem device code phishing i zloupotrebiti prethodne korake da ukradete njegov pristup. Za više informacija pogledajte:
Az - Phishing Primary Refresh Token (Microsoft Entra)Reference
Last updated