Az - Illicit Consent Grant
Last updated
Last updated
Azure Aplikacije traže dozvole za pristup korisničkim podacima (osnovne informacije, ali i pristup dokumentima, slanje emailova...).
Ako je dozvoljeno, običan korisnik može dati pristanak samo za "Niske uticaje dozvola". U svim ostalim slučajevima, potreban je pristanak administratora.
GA
, ApplicationAdministrator
, CloudApplication
Administrator
i prilagođena uloga koja uključuje dozvolu za davanje dozvola aplikacijama
mogu omogućiti pristanak na nivou zakupca.
Samo dozvole koje ne zahtevaju pristanak administratora klasifikuju se kao niski uticaj. To su dozvole potrebne za osnovnu prijavu kao što su openid, profile, email, User.Read i offline_access. Ako organizacija omogući korisnički pristanak za sve aplikacije, zaposleni može dati pristanak aplikaciji da pročita navedeno iz njihovog profila.
Stoga, napadač može pripremiti zlonamernu aplikaciju i uz pomoć ribarenja, naterati korisnika da prihvati aplikaciju i ukrade njegove podatke.
Neautentifikovan: Iz eksternog naloga kreirajte aplikaciju sa dozvolama User.Read
i User.ReadBasic.All
na primer, izvedite ribarenje korisnika, i bićete u mogućnosti pristupiti informacijama direktorijuma.
Ovo zahteva da ribaren korisnik bude u mogućnosti da prihvati OAuth aplikacije iz eksternih okruženja!
Autentifikovan: Nakon što ste kompromitovali principala sa dovoljno privilegija, kreirajte aplikaciju unutar naloga i izvedite ribarenje nekog privilegovanog korisnika koji može prihvatiti privilegovane OAuth dozvole.
U ovom slučaju već možete pristupiti informacijama direktorijuma, tako da dozvola User.ReadBasic.All
više nije interesantna.
Verovatno ste zainteresovani za dozvole koje zahtevaju da administrator odobri, jer sirovi korisnik ne može dati OAuth aplikacijama bilo koju dozvolu, zato vam je potrebno ribariti samo te korisnike (više o tome koje uloge/dozvole daju ovu privilegiju kasnije)
Sledeća PowerShell komanda se koristi za proveru konfiguracije pristanka za korisnike u Azure Active Directory (Azure AD) u vezi sa njihovom sposobnošću da daju pristanak aplikacijama:
Onemogući korisnički pristanak: Ovo podešavanje zabranjuje korisnicima davanje dozvola aplikacijama. Nijedan korisnički pristanak za aplikacije nije dozvoljen.
Korisnici mogu dati pristanak aplikacijama od proverenih izdavača ili vaše organizacije, ali samo za odabrane dozvole: Ovo podešavanje dozvoljava svim korisnicima da daju pristanak samo za aplikacije koje su objavljene od strane proverenog izdavača i aplikacije registrovane u vašem sopstvenom zakupcu. Dodaje sloj kontrole omogućavajući pristanak samo za određene dozvole.
Korisnici mogu dati pristanak za sve aplikacije: Ovo podešavanje je liberalnije i dozvoljava svim korisnicima da daju pristanak za bilo koje dozvole za aplikacije, pod uslovom da te dozvole ne zahtevaju administratorski pristanak.
Prilagođena politika pristanka za aplikacije: Ovo podešavanje ukazuje da je na snazi prilagođena politika, koja može biti prilagođena specifičnim organizacionim zahtevima i može uključivati kombinaciju ograničenja zasnovanih na izdavaču aplikacije, dozvolama koje aplikacija zahteva i drugim faktorima.
U napadu na neovlašćeno davanje pristanka, napadači prevare krajnje korisnike da daju dozvole zlonamernoj aplikaciji registrovanoj u okviru Azure-a. To se postiže tako što aplikacija izgleda legitimno, navodeći žrtve da nehotice kliknu na dugme "Prihvati". Kao rezultat toga, Azure AD izdaje token sajtu napadača, omogućavajući im pristup i manipulaciju podacima žrtve, kao što su čitanje ili slanje e-pošte i pristup fajlovima, bez potrebe za organizacionim nalogom.
Napad uključuje nekoliko koraka usmerenih ka generičkoj kompaniji. Evo kako bi mogao da se odvija:
Registracija Domena i Hosting Aplikacije: Napadač registruje domen koji podseća na pouzdan sajt, na primer, "sigurniprijavidomen.com". Pod ovim domenom, kreira se poddomen (npr. "imenakompanije.sigurniprijavidomen.com") za hostovanje aplikacije dizajnirane za hvatanje autorizacionih kodova i zahtevanje pristupnih tokena.
Registracija Aplikacije u Azure AD: Napadač zatim registruje Aplikaciju za Više Zakupaca u svom Azure AD Zakupcu, nazivajući je po ciljnoj kompaniji kako bi delovala legitimno. Konfiguriše URL preusmeravanja aplikacije da pokazuje ka poddomenu koji hostuje zlonamernu aplikaciju.
Postavljanje Dozvola: Napadač postavlja aplikaciju sa različitim API dozvolama (npr. Mail.Read
, Notes.Read.All
, Files.ReadWrite.All
, User.ReadBasic.All
, User.Read
). Ove dozvole, jednom kada ih korisnik odobri, omogućavaju napadaču da izvuče osetljive informacije u ime korisnika.
Distribucija Zlonamernih Linkova: Napadač kreira link koji sadrži klijentski ID zlonamerne aplikacije i deli ga sa ciljanim korisnicima, prevareći ih da daju pristanak.
Napad može biti olakšan korišćenjem alata poput 365-Stealer.
Ako napadač ima određeni nivo pristupa korisniku u organizaciji žrtve, može proveriti da li politika organizacije dozvoljava korisniku da prihvati aplikacije:
Za izvođenje napada, napadaču će biti potrebno da kreiraju novu aplikaciju u svom Azure zakupcu (u Registracijama aplikacija), konfigurisanu sa dozvolama:
User.ReadBasic.All
je unutar Microsoft Graph
u Delegiranim dozvolama
. (Dozvole aplikacije će uvek zahtevati dodatno odobrenje).
User.ReadBasic.All
je dozvola koja će vam omogućiti da čitate informacije svih korisnika u organizaciji ako je odobrena.
Zapamtite da samo GA
, Administrator aplikacije
, Administrator aplikacija u oblaku
i prilagođena uloga koja uključuje dozvolu za dodeljivanje dozvola aplikacijama
mogu obezbediti saglasnost na nivou zakupca. Dakle, trebalo bi da phishujete korisnika sa jednom od tih uloga ako želite da on odobri aplikaciju koja zahteva administratorsku saglasnost.
Takođe možete kreirati aplikaciju putem CLI-a sa:
Proverite https://www.alteredsecurity.com/post/introduction-to-365-stealer da biste saznali kako da ga konfigurišete.
Imajte na umu da će dobijeni pristupni token biti za graph endpoint sa dozvolama: User.Read
i User.ReadBasic.All
(zahtevane dozvole). Nećete moći da izvršite druge radnje (ali to je dovoljno da preuzmete informacije o svim korisnicima u organizaciji).
Takođe možete koristiti ovaj alat za izvođenje ovog napada.
Kada dobijete pristup korisniku, možete raditi stvari poput krađe osetljivih dokumenata čak i otpremanja dokumenata sa zadnjim vratima.