Az - PTA - Pass-through Authentication
Last updated
Last updated
Od dokumenata: Provera autentičnosti prenosa (PTA) u Azure Active Directory (Azure AD) omogućava vašim korisnicima da se prijave na lokalne i cloud aplikacije koristeći iste lozinke. Ova funkcija pruža korisnicima bolje iskustvo - jedna manje lozinka koju treba zapamtiti, i smanjuje troškove IT podrške jer su korisnici manje verovatno da će zaboraviti kako da se prijave. Kada korisnici se prijave koristeći Azure AD, ova funkcija validira korisničke lozinke direktno protiv vašeg lokalnog Active Directory-a.
U PTA identiteti su sinhronizovani ali lozinke nisu kao u PHS.
Autentikacija se validira u lokalnom AD-u i komunikacija sa oblakom se vrši preko agent za autentikaciju koji se izvršava na lokalnom serveru (ne mora biti na lokalnom DC).
Da bi se prijavio korisnik je preusmeren na Azure AD, gde šalje korisničko ime i lozinku
Poverljivi podaci su šifrovani i postavljeni u red u Azure AD
Agent za autentikaciju na lokalnom serveru prikuplja poverljive podatke iz reda i ih dešifruje. Ovaj agent se naziva "Agent za proveru autentičnosti prenosa" ili PTA agent.
Agent validira podatke protiv lokalnog AD-a i šalje odgovor nazad u Azure AD koji, ako je odgovor pozitivan, završava prijavu korisnika.
Ako napadač kompromituje PTA on može videti sve poverljive podatke iz reda (u čistom tekstu). Takođe može validirati bilo koje poverljive podatke ka AzureAD (sličan napad kao Skeleton key).
Ako imate admin pristup Azure AD Connect serveru sa PTA agentom koji se izvršava, možete koristiti AADInternals modul da ubacite tajnu vrata koja će validirati SVE lozinke unete (tako da će sve lozinke biti validne za autentikaciju):
Ako instalacija ne uspe, verovatno je to zbog nedostajućih Microsoft Visual C++ 2015 Redistributables.
Takođe je moguće videti lozinke u čistom tekstu koje su poslate agentu PTA korišćenjem sledećeg cmdlet-a na mašini gde je prethodna tajna vrata instalirana:
Ova vrata će:
Napraviti skriveni folder C:\PTASpy
Kopirati PTASpy.dll
u C:\PTASpy
Ubaciti PTASpy.dll
u proces AzureADConnectAuthenticationAgentService
Kada se usluga AzureADConnectAuthenticationAgent ponovo pokrene, PTASpy se "isključuje" i mora ponovo biti instaliran.
Nakon sticanja GA privilegija u oblaku, moguće je registrovati novog PTA agenta postavljajući ga na mašinu kojom upravlja napadač. Kada je agent postavljen, možemo ponoviti prethodne korake da bismo se autentifikovali koristeći bilo koju lozinku i takođe, dobili lozinke u čistom tekstu.
Moguće je koristiti Seamless SSO sa PTA, što je ranjivo na druge zloupotrebe. Proverite u: