Az - Conditional Access Policies / MFA Bypass

Taarifa za Msingi

Sera za Ufikiaji wa Masharti za Azure ni sheria zilizowekwa katika Microsoft Azure ili kutekeleza udhibiti wa ufikiaji kwa huduma na programu za Azure kulingana na masharti fulani. Sera hizi zinasaidia mashirika kulinda rasilimali zao kwa kutumia udhibiti sahihi wa ufikiaji chini ya hali sahihi. Sera za ufikiaji wa masharti kimsingi zinaelezea Nani anaweza kufikia Nini kutoka Wapi na Jinsi.

Hapa kuna mifano kadhaa:

1. Sera ya Hatari ya Kuingia: Sera hii inaweza kuwekwa ili kuhitaji uthibitisho wa hatua nyingi (MFA) wakati hatari ya kuingia inagundulika. Kwa mfano, ikiwa tabia ya kuingia ya mtumiaji ni ya kawaida ikilinganishwa na muundo wao wa kawaida, kama kuingia kutoka nchi tofauti, mfumo unaweza kuomba uthibitisho wa ziada.

2. Sera ya Uzingatiaji wa Kifaa: Sera hii inaweza kuzuia ufikiaji wa huduma za Azure tu kwa vifaa ambavyo vinakidhi viwango vya usalama vya shirika. Kwa mfano, ufikiaji unaweza kuruhusiwa tu kutoka kwa vifaa ambavyo vina programu ya antivirus iliyo na sasisho au vinatumia toleo fulani la mfumo wa uendeshaji.

Mipango ya Sera za Ufikiaji wa Masharti

Inawezekana kwamba sera ya ufikiaji wa masharti inaangalia taarifa fulani ambazo zinaweza kubadilishwa kwa urahisi kuruhusu kupita sera hiyo. Na ikiwa kwa mfano sera hiyo ilikuwa inakamilisha MFA, mshambuliaji ataweza kuipita.

Majukwaa ya Vifaa - Hali ya Kifaa

Inawezekana kuweka hali kulingana na jukwaa la kifaa (Android, iOS, Windows, macOS), hata hivyo, hii inategemea user-agent hivyo ni rahisi sana kupita. Hata kufanya chaguo zote zitekeleze MFA, ikiwa unatumia user-agent ambayo haijatambuliwa utaweza kupita MFA.

Mikoa: Nchi, anuwai za IP - Hali ya Kifaa

Bila shaka ikiwa hii imewekwa katika sera ya masharti, mshambuliaji anaweza tu kutumia VPN katika nchi iliyoruhusiwa au kujaribu kupata njia ya kufikia kutoka anwani ya IP iliyoruhusiwa ili kupita hali hizi.

Programu za Wateja za Office365

Unaweza kuashiria kwamba ikiwa wateja wanapata programu za Office 365 kutoka kwa kivinjari wanahitaji MFA:

Ili kupita hii, inawezekana kudanganya kwamba unajiandikisha katika programu kutoka kwa programu ya desktop (kama Microsoft Teams katika mfano ufuatao) ambayo itapita ulinzi:

roadrecon auth -u user@email.com -r https://outlook.office.com/ -c 1fec8e78-bce4-4aaf-ab1b-5451cc387264 --tokrns-stdout

<token>

Kama programu ya Microsoft Teams ina ruhusa nyingi, utaweza kutumia ufikiaji huo.

SELECT appId, displayName FROM ApplicationRefs WHERE publicCLient = 1 ORDER BY displayName ASC

Huu shambulio ni la kuvutia hasa kwa sababu kwa kawaida programu za umma za Office365 zitakuwa na ruhusa za kufikia baadhi ya data.

Programu Nyingine

Kwa kawaida, programu nyingine zilizoundwa na watumiaji hazitakuwa na ruhusa na zinaweza kuwa za faragha. Hata hivyo, watumiaji pia wanaweza kuunda programu za umma zinazowapa baadhi ya ruhusa.

Kesi inayoweza kutokea ambapo sera imewekwa kuhitaji MFA ili kufikia programu wakati mtumiaji anatumia browza (labda kwa sababu ni programu ya wavuti na hivyo itakuwa njia pekee), ikiwa kuna programu ya proxy -programu inayoruhusiwa kuingiliana na programu nyingine kwa niaba ya watumiaji-, mtumiaji anaweza kuingia kwenye programu ya proxy na kisha kupitia programu hii ya proxy kuingia kwenye programu iliyolindwa na MFA awali.

Angalia Invoke-MFASweep na donkeytoken mbinu.

Mipango Mingine ya Az MFA Bypass

Sauti ya Kengele

Moja ya chaguo la Azure MFA ni kupokea simu kwenye nambari ya simu iliyowekwa ambapo mtumiaji ataulizwa kutuma herufi #.

Vifaa Vinavyokubalika

Sera mara nyingi huomba kifaa kinachokubalika au MFA, hivyo mshambuliaji anaweza kujiandikisha kifaa kinachokubalika, kupata token ya PRT na kupita hivi MFA.

Anza kwa kujiandikisha kifaa kinachokubalika katika Intune, kisha pata PRT na:

$prtKeys = Get-AADIntuneUserPRTKeys - PfxFileName .\<uuid>.pfx -Credentials $credentials

$prtToken = New-AADIntUserPRTToken -Settings $prtKeys -GertNonce

Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

<token returned>

Pata maelezo zaidi kuhusu aina hii ya shambulio katika ukurasa ufuatao:

Zana

roadrecon

Pata sera zote

roadrecon plugin policies

Invoke-MFASweep

MFASweep ni script ya PowerShell inayojaribu kuingia kwenye huduma mbalimbali za Microsoft kwa kutumia seti ya akauti zilizotolewa na itajaribu kubaini kama MFA imewezeshwa. Kulingana na jinsi sera za ufikiaji wa masharti na mipangilio mingine ya uthibitishaji wa hatua nyingi zilivyowekwa, baadhi ya itifaki zinaweza kuishia kuwa na hatua moja tu. Pia ina ukaguzi wa ziada kwa mipangilio ya ADFS na inaweza kujaribu kuingia kwenye seva ya ADFS ya ndani ikiwa itagundulika.

Invoke-MFASweep -Username <username> -Password <pass>

donkeytoken

Donkey token ni seti ya kazi ambazo zina lengo la kusaidia washauri wa usalama wanaohitaji kuthibitisha Sera za Ufikiaji wa Masharti, majaribio ya portali za Microsoft zilizo na 2FA, n.k.

Import-Module 'C:\Users\Administrador\Desktop\Azure\Modulos ps1\donkeytoken' -Force

Jaribu kila portal ikiwa inawezekana kuingia bila MFA:

Test-MFA -credential $cred -Verbose -Debug -InformationAction Continue

Kwa sababu Azure portal haijakandamizwa, inawezekana kukusanya token kutoka kwa kiunganishi cha portal ili kufikia huduma yoyote iliyogunduliwa na utekelezaji wa awali. Katika kesi hii, Sharepoint ilitambuliwa, na token ya kuifikia inahitajika:

$token = Get-DelegationTokenFromAzurePortal -credential $cred -token_type microsoft.graph -extension_type Microsoft_Intune
Read-JWTtoken -token $token.access_token

Ikiwa token ina ruhusa Sites.Read.All (kutoka Sharepoint), hata kama huwezi kufikia Sharepoint kutoka mtandao kwa sababu ya MFA, inawezekana kutumia token hiyo kufikia faili kwa kutumia token iliyoundwa:

$data = Get-SharePointFilesFromGraph -authentication $token $data[0].downloadUrl

References

• https://www.youtube.com/watch?v=yOJ6yB9anZM&t=296s

• https://www.youtube.com/watch?v=xei8lAPitX8