Az - EntraID Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Napomena da neke od granularnih dozvola koje imaju ugrađene uloge u Entra ID nisu podobne za korišćenje u prilagođenim ulogama.
Ova uloga sadrži potrebne granularne dozvole za dodeljivanje uloga principima i za davanje više dozvola ulogama. Ove akcije se mogu zloupotrebiti za eskalaciju privilegija.
Dodeli ulogu korisniku:
Dodajte više dozvola ulozi:
microsoft.directory/applications/credentials/update
Ovo omogućava napadaču da doda kredencijale (lozinke ili sertifikate) postojećim aplikacijama. Ako aplikacija ima privilegovane dozvole, napadač može da se autentifikuje kao ta aplikacija i stekne te privilegije.
microsoft.directory/applications.myOrganization/credentials/update
Ovo omogućava iste radnje kao applications/credentials/update
, ali je ograničeno na aplikacije unutar jedne direktorije.
microsoft.directory/applications/owners/update
Dodavanjem sebe kao vlasnika, napadač može manipulisati aplikacijom, uključujući kredencijale i dozvole.
microsoft.directory/applications/allProperties/update
Napadač može dodati URI za preusmeravanje aplikacijama koje koriste korisnici tenanta i zatim podeliti sa njima URL-ove za prijavu koji koriste novi URL za preusmeravanje kako bi ukrao njihove tokene. Imajte na umu da, ako je korisnik već bio prijavljen u aplikaciju, autentifikacija će biti automatska bez potrebe da korisnik bilo šta prihvati.
Imajte na umu da je takođe moguće promeniti dozvole koje aplikacija zahteva kako bi dobila više dozvola, ali u ovom slučaju korisnik će morati ponovo da prihvati prozor koji traži sve dozvole.
microsoft.directory/servicePrincipals/credentials/update
Ovo omogućava napadaču da doda akreditive postojećim servisnim principalima. Ako servisni principal ima povišene privilegije, napadač može preuzeti te privilegije.
Nova generisana lozinka se neće pojaviti u web konzoli, tako da bi ovo mogla biti stealth metoda za održavanje postojanosti nad servisnim principalom.
Iz API-ja se mogu pronaći sa: az ad sp list --query '[?length(keyCredentials) > 0 || length(passwordCredentials) > 0].[displayName, appId, keyCredentials, passwordCredentials]' -o json
Ako dobijete grešku "code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid."
to je zato što nije moguće modifikovati svojstvo passwordCredentials SP-a i prvo ga morate otključati. Za to vam je potrebna dozvola (microsoft.directory/applications/allProperties/update
) koja vam omogućava da izvršite:
microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Ovo omogućava napadaču da doda akreditive postojećim servisnim principalima. Ako servisni principal ima povišene privilegije, napadač može preuzeti te privilegije.
microsoft.directory/servicePrincipals/owners/update
Slično aplikacijama, ova dozvola omogućava dodavanje više vlasnika servisa. Vlasništvo nad servisom omogućava kontrolu nad njegovim akreditivima i dozvolama.
Nakon dodavanja novog vlasnika, pokušao sam da ga uklonim, ali je API odgovorio da DELETE metoda nije podržana, čak i ako je to metoda koju treba koristiti za brisanje vlasnika. Tako da ne možete ukloniti vlasnike danas.
microsoft.directory/servicePrincipals/disable
i enable
Ove dozvole omogućavaju onemogućavanje i omogućavanje servisnih principala. Napadač bi mogao iskoristiti ovu dozvolu da omogući servisnog principala do kojem bi mogao nekako da dođe kako bi eskalirao privilegije.
Napomena: za ovu tehniku napadač će trebati više dozvola kako bi preuzeo omogućeni servisni principala.
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials
& microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials
Ove dozvole omogućavaju kreiranje i dobijanje kredencijala za jedinstveno prijavljivanje, što može omogućiti pristup aplikacijama trećih strana.
microsoft.directory/groups/allProperties/update
Ova dozvola omogućava dodavanje korisnika u privilegovane grupe, što dovodi do eskalacije privilegija.
Napomena: Ova dozvola isključuje Entra ID grupe koje se mogu dodeliti uloge.
microsoft.directory/groups/owners/update
Ova dozvola omogućava postajanje vlasnikom grupa. Vlasnik grupe može kontrolisati članstvo i podešavanja grupe, potencijalno eskalirajući privilegije unutar grupe.
Napomena: Ova dozvola isključuje Entra ID grupe koje se mogu dodeliti uloge.
microsoft.directory/groups/members/update
Ova dozvola omogućava dodavanje članova u grupu. Napadač može dodati sebe ili zlonamerne naloge u privilegovane grupe, što može omogućiti povišen pristup.
microsoft.directory/groups/dynamicMembershipRule/update
Ova dozvola omogućava ažuriranje pravila članstva u dinamičkoj grupi. Napadač bi mogao da izmeni dinamička pravila kako bi se uključio u privilegovane grupe bez eksplicitnog dodavanja.
Napomena: Ova dozvola isključuje Entra ID grupe koje se mogu dodeliti uloge.
Možda je moguće da korisnici eskaliraju privilegije modifikovanjem svojih svojstava kako bi bili dodati kao članovi dinamičkih grupa. Za više informacija pogledajte:
Az - Dynamic Groups Privescmicrosoft.directory/users/password/update
Ova dozvola omogućava resetovanje lozinke za korisnike koji nisu administratori, što potencijalnom napadaču omogućava da eskalira privilegije na druge korisnike. Ova dozvola ne može biti dodeljena prilagođenim ulogama.
microsoft.directory/users/basic/update
Ova privilegija omogućava modifikaciju svojstava korisnika. Uobičajeno je pronaći dinamičke grupe koje dodaju korisnike na osnovu vrednosti svojstava, stoga, ova dozvola može omogućiti korisniku da postavi potrebnu vrednost svojstva kako bi postao član određene dinamičke grupe i eskalirao privilegije.
Pogrešno konfigurisane politike uslovnog pristupa koje zahtevaju MFA mogu se zaobići, proverite:
Az - Conditional Access Policies & MFA Bypassmicrosoft.directory/devices/registeredOwners/update
Ova dozvola omogućava napadačima da se dodele kao vlasnici uređaja kako bi stekli kontrolu ili pristup podešavanjima i podacima specifičnim za uređaj.
microsoft.directory/devices/registeredUsers/update
Ova dozvola omogućava napadačima da povežu svoj nalog sa uređajima kako bi dobili pristup ili zaobišli bezbednosne politike.
microsoft.directory/deviceLocalCredentials/password/read
Ova dozvola omogućava napadačima da pročitaju svojstva rezervnih lokalnih administratorskih naloga za uređaje povezane sa Microsoft Entra, uključujući lozinku
microsoft.directory/bitlockerKeys/key/read
Ova dozvola omogućava pristup BitLocker ključevima, što može omogućiti napadaču da dekriptuje diskove, ugrožavajući poverljivost podataka.
microsoft.directory/applications/permissions/update
microsoft.directory/servicePrincipals/permissions/update
microsoft.directory/applications.myOrganization/allProperties/update
microsoft.directory/applications/allProperties/update
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
microsoft.directory/applications/appRoles/update
microsoft.directory/applications.myOrganization/permissions/update
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)