Az - Device Registration
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kada uređaj pristupi AzureAD, novi objekat se kreira u AzureAD.
Kada se uređaj registruje, korisnik se traži da se prijavi sa svojim nalogom (tražeći MFA ako je potrebno), zatim se traže tokeni za servis registracije uređaja i na kraju se traži konačna potvrda.
Zatim, generišu se dva RSA para ključeva u uređaju: ključ uređaja (javni ključ) koji se šalje u AzureAD i transport ključ (privatni ključ) koji se čuva u TPM ako je moguće.
Zatim, objekat se generiše u AzureAD (ne u Intune) i AzureAD vraća uređaju sertifikat potpisan od strane njega. Možete proveriti da li je uređaj povezan sa AzureAD i informacije o sertifikatu (kao što je da li je zaštićen TPM-om).
Nakon registracije uređaja, Primary Refresh Token se zahteva od LSASS CloudAP modula i dodeljuje uređaju. Uz PRT se takođe isporučuje ključ sesije koji je enkriptovan tako da ga samo uređaj može dekriptovati (koristeći javni ključ transportnog ključa) i neophodan je za korišćenje PRT-a.
Za više informacija o tome šta je PRT, pogledajte:
TPM štiti od ekstrakcije ključeva sa isključenog uređaja (ako je zaštićen PIN-om) i od ekstrakcije privatnog materijala iz OS sloja. Ali ne štiti od sniffing-a fizičke veze između TPM-a i CPU-a ili korišćenja kriptografskog materijala u TPM-u dok sistem radi iz procesa sa SYSTEM pravima.
Ako pogledate sledeću stranicu, videćete da se krađa PRT-a može koristiti za pristup kao korisnik, što je odlično jer se PRT nalazi na uređajima, tako da se može ukrasti od njih (ili, ako nije ukraden, zloupotrebiti za generisanje novih potpisnih ključeva):
Bilo bi moguće da napadač zatraži token za Microsoft uslugu registracije uređaja sa kompromitovanog uređaja i registruje ga:
Koji će vam dati sertifikat koji možete koristiti za traženje PRT-ova u budućnosti. Takođe održava postojanost i obiđe MFA jer je originalni PRT token korišćen za registraciju novog uređaja već imao odobrene MFA dozvole.
Napomena da za izvođenje ovog napada trebate dozvole za registraciju novih uređaja. Takođe, registracija uređaja ne znači da će uređaj biti odobren za upis u Intune.
Ovaj napad je ispravljen u septembru 2021. godine jer više ne možete registrovati nove uređaje koristeći SSO tokene. Međutim, još uvek je moguće registrovati uređaje na legitiman način (imajući korisničko ime, lozinku i MFA ako je potrebno). Proverite: roadtx.
Bilo je moguće zatražiti uređajni tiket, prepisati trenutni tiket uređaja, i tokom procesa ukrasti PRT (tako da nije potrebno ukrasti ga iz TPM-a. Za više informacija proverite ovaj govor.
Međutim, ovo je ispravljeno.
Proverite originalne slajdove ovde
Sažetak napada:
Moguće je prepisati registrovani WHFB ključ sa uređaja putem SSO
To obara TPM zaštitu jer se ključ snima tokom generisanja novog ključa
Ovo takođe pruža postojanost
Korisnici mogu modifikovati svoju pretraživuDeviceKey svojstvo putem Azure AD Graph, međutim, napadač treba da ima uređaj u tenant-u (registrovan u hodu ili imajući ukradeni sertifikat + ključ sa legitimenog uređaja) i važeći pristupni token za AAD Graph.
Zatim, moguće je generisati novi ključ sa:
i zatim PATCH informacije o searchableDeviceKey:
Moguće je dobiti pristupni token od korisnika putem device code phishing i zloupotrebiti prethodne korake da ukrade njegov pristup. Za više informacija pogledajte:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
