Last updated
Bir cihaz AzureAD'ye katıldığında, AzureAD'de yeni bir nesne oluşturulur.
Bir cihaz kaydedildiğinde, kullanıcı hesabıyla giriş yapması istenir (gerektiğinde MFA istenir), ardından cihaz kayıt hizmeti için token'lar istenir ve son olarak bir onay istemi alınır.
Daha sonra, cihazda iki RSA anahtar çifti oluşturulur: Cihaz anahtarı (genel anahtar), AzureAD'ye gönderilir ve taşıma anahtarı (özel anahtar), mümkünse TPM'de saklanır.
Ardından, nesne AzureAD'de (Intune'da değil) oluşturulur ve AzureAD, cihaza tarafından imzalanmış bir sertifika verir. Cihazın AzureAD'ye katıldığını ve sertifika hakkında bilgileri (TPM tarafından korunup korunmadığı gibi) kontrol edebilirsiniz.
Cihaz kaydından sonra, LSASS CloudAP modülü tarafından bir Birincil Yenileme Belirteci (PRT) istenir ve cihaza verilir. PRT ile birlikte, yalnızca cihazın şifrelemesini çözebileceği şekilde şifrelenmiş oturum anahtarı (taşıma anahtarının genel anahtarı kullanılarak) de teslim edilir ve PRT'yi kullanmak için gereklidir.
Bir PRT'nin ne olduğu hakkında daha fazla bilgi için şu adrese bakın:
TPM, bir cihazın kapatıldığında (PIN ile korunuyorsa) anahtarın çıkarılmasına karşı koruma sağlar ve özel materyalin işletim sistemi katmanından çıkarılmasına karşı koruma sağlar. Ancak, TPM ve CPU arasındaki fiziksel bağlantının dinlenmesine veya sistem HAKLARIYLA çalışan bir işlem tarafından TPM'deki kriptografik materyalin kullanılmasına karşı koruma sağlamaz.
Aşağıdaki sayfayı kontrol ederseniz, PRT'nin çalınması yeni bir imza anahtarı oluşturmak için kullanılabileceği gibi, bir kullanıcı gibi erişim sağlamak için de kullanılabilir:
Saldırgan, etkilenen cihazdan Microsoft cihaz kayıt hizmeti için bir belirteç talep edebilir ve kaydedebilir:
Cihaz biletini istemek, cihazın mevcut biletini üzerine yazmak ve akış sırasında PRT'yi çalmak mümkündü (bu nedenle TPM'den çalmaya gerek yok. Daha fazla bilgi için bu konuşmayı kontrol edin.
Ancak, bu düzeltildi.
Orijinal slaytları buradan kontrol edin](https://dirkjanm.io/assets/raw/Windows%20Hello%20from%20the%20other%20side_nsec_v1.0.pdf)
Saldırı özeti:
SSO aracılığıyla bir cihazın kayıtlı WHFB anahtarını üzerine yazmak mümkündür
Yeni anahtarın oluşturulması sırasında anahtarın TPM korumasını geçer.
Bu aynı zamanda süreklilik sağlar
Kullanıcılar Azure AD Graph üzerinden kendi searchableDeviceKey özelliğini değiştirebilir, ancak saldırganın kiracıda bir cihaza (uçtan uca kaydedilmiş veya meşru bir cihazdan çalınan sertifika + anahtar) ve AAD Graph için geçerli bir erişim belirteci olması gerekmektedir.
Daha sonra, yeni bir anahtar oluşturmak mümkündür:
ve ardından searchableDeviceKey bilgilerini GÜNCELLEYİN:
Bir kullanıcının erişim jetonunu cihaz kodu dolandırıcılığı ile almak ve önceki adımları kullanarak erişimini çalmak mümkündür. Daha fazla bilgi için kontrol edin:
