Az - Device Registration
Basic Information
Wakati kifaa kinajiunga na AzureAD, kitu kipya kinaundwa katika AzureAD.
Wakati wa kujiandikisha kifaa, mtumiaji anaombwa kuingia na akaunti yake (akiulizwa kwa MFA ikiwa inahitajika), kisha inahitaji tokeni za huduma ya kujiandikisha kifaa na kisha inauliza uthibitisho wa mwisho.
Kisha, jozi mbili za funguo za RSA zinaundwa katika kifaa: funguo ya kifaa (funguo ya umma) ambayo inatumwa kwa AzureAD na funguo ya usafirishaji (funguo ya faragha) ambayo inahifadhiwa katika TPM ikiwa inawezekana.
Kisha, kitu kinaundwa katika AzureAD (sio katika Intune) na AzureAD inarudisha kwa kifaa cheti kilichosainiwa na hiyo. Unaweza kuthibitisha kwamba kifaa kimejiunga na AzureAD na taarifa kuhusu cheti (kama kimeprotected na TPM).
Baada ya usajili wa kifaa, Primary Refresh Token inahitajika na moduli ya LSASS CloudAP na inatolewa kwa kifaa. PRT inakuja na funguo ya kikao iliyosimbwa ili kifaa pekee kiweze kuifungua (kwa kutumia funguo ya umma ya funguo ya usafirishaji) na inahitajika ili kutumia PRT.
Kwa maelezo zaidi kuhusu nini PRT ni angalia:
TPM - Moduli ya Jukwaa Iliyotegemewa
TPM inalinda dhidi ya uchimbaji wa funguo kutoka kwa kifaa kilichozimwa (ikiwa kimeprotected na PIN) na kutoka kwa kuchimba nyenzo za faragha kutoka kwa safu ya OS. Lakini haiwezi kulinda dhidi ya kuangalia muunganisho wa kimwili kati ya TPM na CPU au kutumia nyenzo za kifahari katika TPM wakati mfumo unafanya kazi kutoka kwa mchakato wenye haki za SYSTEM.
Ikiwa utaangalia ukurasa ufuatao utaona kwamba kuiba PRT kunaweza kutumika kupata kama mtumiaji, ambayo ni nzuri kwa sababu PRT iko kwenye vifaa, hivyo inaweza kuibiwa kutoka kwao (au ikiwa haijaibiwa kutumiwa vibaya kuunda funguo mpya za kusaini):
Kusajili kifaa na tokeni za SSO
Itakuwa inawezekana kwa mshambuliaji kuomba tokeni kwa huduma ya usajili wa kifaa ya Microsoft kutoka kwa kifaa kilichovunjwa na kuisajili:
Ambayo itakupa cheti unachoweza kutumia kuomba PRTs katika siku zijazo. Hivyo kudumisha uthibitisho na kuzidi MFA kwa sababu token ya PRT ya awali iliyotumika kujiandikisha kifaa kipya ilikuwa tayari na ruhusa za MFA zilizotolewa.
Kumbuka kwamba ili kufanya shambulio hili utahitaji ruhusa za kujiandikisha vifaa vipya. Pia, kujiandikisha kifaa hakumaanishi kifaa kitakuwa kimekubaliwa kujiunga na Intune.
Shambulio hili lilirekebishwa mnamo Septemba 2021 kwani huwezi tena kujiandikisha vifaa vipya kwa kutumia token za SSO. Hata hivyo, bado inawezekana kujiandikisha vifaa kwa njia halali (ikiwa na jina la mtumiaji, nenosiri na MFA ikiwa inahitajika). Angalia: roadtx.
Kuandika upya tiketi ya kifaa
Ilikuwa inawezekana kuomba tiketi ya kifaa, kuandika upya ile ya sasa ya kifaa, na wakati wa mchakato kuiiba PRT (hivyo hakuna haja ya kuiba kutoka kwa TPM. Kwa maelezo zaidi angalia mazungumzo haya.
Hata hivyo, hili lilirekebishwa.
Andika upya funguo za WHFB
Muhtasari wa shambulio:
Inawezekana kuandika upya funguo za WHFB zilizoregistriwa kutoka kwa kifaa kupitia SSO
In shinda ulinzi wa TPM kwani funguo inachukuliwa wakati wa uzalishaji wa funguo mpya
Hii pia inatoa uthibitisho
Watumiaji wanaweza kubadilisha mali yao ya searchableDeviceKey kupitia Azure AD Graph, hata hivyo, mshambuliaji anahitaji kuwa na kifaa katika tenant (kilichosajiliwa kwa haraka au akiwa na cheti + funguo iliyoporwa kutoka kifaa halali) na token ya ufikiaji halali kwa AAD Graph.
Kisha, inawezekana kuzalisha funguo mpya kwa:
na kisha PATCH taarifa za searchableDeviceKey:
Inawezekana kupata token ya ufikiaji kutoka kwa mtumiaji kupitia device code phishing na kutumia hatua zilizopita ili kuiba ufikiaji wake. Kwa maelezo zaidi angalia:
Marejeo
Last updated