Az - Unauthenticated Enum & Initial Entry
Last updated
Last updated
Postoje neke javne Azure API-je za koje samo poznavanje domena tenanta napadaču omogućava da pretražuje više informacija o njemu. Možete direktno pretraživati API ili koristiti PowerShell biblioteku AADInternals:
API | Informacije | Funkcija AADInternals |
---|---|---|
Možete pretražiti sve informacije o Azure tenantu sa samo jednom komandom AADInternals biblioteke:
Primer izlaza informacija o Azure zakupcu:
Moguće je posmatrati detalje o imenu zakupca, ID-u i imenu "brenda". Dodatno, prikazan je status Desktop Single Sign-On (SSO), poznat i kao Seamless SSO. Kada je omogućena ova funkcija olakšava određivanje prisustva (enumeracije) određenog korisnika unutar ciljne organizacije.
Osim toga, izlaz prikazuje imena svih verifikovanih domena povezanih sa ciljnim zakupcem, zajedno sa njihovim odgovarajućim tipovima identiteta. U slučaju federiranih domena, potpuno kvalifikovano ime domena (FQDN) identitetskog provajdera koji se koristi, obično ADFS server, takođe je otkriveno. Kolona "MX" specificira da li se e-pošta usmerava ka Exchange Online-u, dok kolona "SPF" označava Exchange Online kao pošiljaoca e-pošte. Važno je napomenuti da trenutna funkcija izviđanja ne analizira "include" izjave unutar SPF zapisa, što može rezultirati lažnim negativima.
Moguće je proveriti da li korisničko ime postoji unutar zakupca. To uključuje i gostujuće korisnike, čije je korisničko ime u formatu:
Email adresa je korisnikova email adresa gde se simbol "@" zamenjuje sa donjom crtom "_".
Sa AADInternals, možete lako proveriti da li korisnik postoji ili ne:
U ovom scenariju, napadač ima pristup Azure Workspace-u, ali nije autentifikovan. Ovo može biti zbog neispravne konfiguracije pristupa ili propusta u politikama bezbednosti. Napadač može iskoristiti ovu situaciju za nabrajanje resursa i eventualno dobiti početni ulaz u sistem.
Nabrajanje resursa: Napadač može koristiti alate poput az
komandne linije ili Azure Portal-a za nabrajanje resursa kao što su virtuelne mašine, skladišta podataka, baze podataka i druge resurse.
Identifikacija osetljivih informacija: Analizom nabrajanih resursa, napadač može identifikovati osetljive informacije kao što su lozinke, ključevi ili druge kritične informacije.
Eksploatacija propusta: Na osnovu identifikovanih osetljivih informacija, napadač može iskoristiti propuste u konfiguraciji ili politikama bezbednosti da bi dobio početni ulaz u sistem.
Konfigurisati pravilno pristupne kontrole i politike bezbednosti.
Redovno proveravati i nadgledati aktivnosti u Azure Workspace-u radi otkrivanja neobičnih ili sumnjivih aktivnosti.
Koristiti višefaktorsku autentifikaciju i snažne lozinke za dodatni sloj sigurnosti.
Možete takođe koristiti tekstualni fajl koji sadrži jednu email adresu po redu:
Postoje tri različite metode enumeracije koje možete odabrati:
Nakon otkrivanja validnih korisničkih imena možete dobiti informacije o korisniku sa:
Skripta o365creeper takođe vam omogućava da otkrijete da li je email validan.
Enumeracija korisnika putem Microsoft Teams-a
Još jedan dobar izvor informacija je Microsoft Teams.
API Microsoft Teams-a omogućava pretragu korisnika. Konkretno, endpointovi "externalsearchv3" i "searchUsers" mogu se koristiti za zahtevanje opštih informacija o korisničkim nalozima u Teams-u.
Na osnovu odgovora API-ja moguće je razlikovati nepostojeće korisnike od postojećih korisnika koji imaju važeću pretplatu na Teams.
Skripta TeamsEnum može se koristiti za proveru datog skupa korisničkih imena prema Teams API-ju.
U ovom scenariju, napadač će izvršiti nabrajanje resursa bez autentifikacije i pokušati da pristupi Azure okruženju.
Nabrajanje resursa bez autentifikacije: Napadač može koristiti alate poput azurerm_resource_group
i azurerm_virtual_network
za nabrajanje resursa bez potrebe za autentifikacijom.
Pokušaj pristupa Azure okruženju: Nakon uspešnog nabrajanja resursa, napadač može pokušati da pristupi Azure okruženju korišćenjem dobijenih informacija.
Konfigurišite pravilno pristupne kontrole i autentifikaciju kako biste sprečili neovlašćeni pristup resursima.
Redovno pratite i analizirajte logove kako biste otkrili sumnjive aktivnosti.
Edukujte osoblje o bezbednosnim praksama i upozorite ih na potencijalne pretnje.
Takođe je moguće nabrojati informacije o dostupnosti postojećih korisnika kao što su:
Dostupan
Odsutan
Nemoj ometati
Zauzet
Van mreže
Ako je konfigurisana poruka van kancelarije, takođe je moguće preuzeti poruku pomoću TeamsEnum-a. Ako je navedena izlazna datoteka, poruke van kancelarije automatski se čuvaju u JSON datoteci:
U ovom scenariju, napadač ima pristup Azure Workspace-u, ali nije autentifikovan. Korišćenjem različitih tehnika, napadač može da izvrši nabrajanje resursa, kao i da pronađe početni ulaz za dalje istraživanje i napade.
Napadač može koristiti alate poput az
komandne linije ili Azure portal-a za nabrajanje resursa kao što su virtuelne mašine, skladišta podataka, baze podataka i druge komponente sistema.
Korišćenjem informacija dobijenih tokom nabrajanja resursa, napadač može identifikovati potencijalne ranjivosti ili slabosti sistema koje mogu biti iskorišćene za dalje napade. Na primer, otkrivanje neažuriranih softverskih komponenti ili loše konfigurisanih resursa može omogućiti napadaču da pristupi osetljivim podacima ili da izvrši druge vrste napada.
Sada kada znamo domene koje Azure zakupac koristi, vreme je da pokušamo da pronađemo izložene Azure usluge.
Možete koristiti metod iz MicroBurst za ovaj cilj. Ova funkcija će pretražiti osnovno ime domena (i nekoliko permutacija) u nekoliko Azure servisnih domena:
Možete otkriti otvoreno skladištenje pomoću alata poput InvokeEnumerateAzureBlobs.ps1 koji će koristiti datoteku Microburst/Misc/permitations.txt
za generisanje permutacija (vrlo jednostavno) kako bi pokušao pronaći otvorene skladišne naloge.
URL deljenog pristupa (SAS) je URL koji omogućava pristup određenom delu skladišnog naloga (može biti cela kontejner, datoteka...) sa određenim dozvolama (čitanje, pisanje...) nad resursima. Ako pronađete procureli URL, možete pristupiti osetljivim informacijama, izgledaju ovako (ovo je za pristup kontejneru, ako je samo davao pristup datoteci, putanja URL-a će takođe sadržati tu datoteku):
https://<ime_skladišnog_naloga>.blob.core.windows.net/novikontejner?sp=r&st=2021-09-26T18:15:21Z&se=2021-10-27T02:14:21Z&spr=https&sv=2021-07-08&sr=c&sig=7S%2BZySOgy4aA3Dk0V1cJyTSIf1cW%2Fu3WFkhHV32%2B4PE%3D
Koristite Storage Explorer za pristup podacima
Uobičajeni Fišing (kredencijali ili OAuth aplikacija -Napad na neovlašćeno davanje pristanka-)
Metoda | Opis |
---|---|