Az - Device Registration
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Bir cihaz AzureAD'ye katıldığında, AzureAD'de yeni bir nesne oluşturulur.
Bir cihaz kaydedilirken, kullanıcıdan hesabıyla giriş yapması istenir (gerekirse MFA istenir), ardından cihaz kayıt hizmeti için token'lar talep edilir ve son bir onay istemi sorulur.
Sonra, cihazda iki RSA anahtar çifti oluşturulur: cihaz anahtarı (açık anahtar) AzureAD'ye gönderilir ve taşıma anahtarı (özel anahtar) mümkünse TPM'de saklanır.
Ardından, nesne AzureAD'de (Intune'da değil) oluşturulur ve AzureAD, cihaza imzalı bir sertifika geri verir. Cihazın AzureAD'ye katıldığını ve sertifika hakkında (örneğin, TPM ile korunup korunmadığı) bilgi kontrol edebilirsiniz.
Cihaz kaydından sonra Primary Refresh Token LSASS CloudAP modülü tarafından talep edilir ve cihaza verilir. PRT ile birlikte sadece cihazın şifreleyebileceği şekilde şifrelenmiş oturum anahtarı da teslim edilir (taşıma anahtarının açık anahtarını kullanarak) ve PRT'yi kullanmak için gereklidir.
PRT'nin ne olduğu hakkında daha fazla bilgi için kontrol edin:
Az - Primary Refresh Token (PRT)TPM, kapalı bir cihazdan (PIN ile korunuyorsa) anahtar çıkarma ve OS katmanından özel materyali çıkarmaya karşı korur. Ancak, TPM ile CPU arasındaki fiziksel bağlantıyı dinlemek veya sistem çalışırken SYSTEM haklarına sahip bir süreçten TPM'deki kriptografik materyali kullanmak karşısında koruma sağlamaz.
Aşağıdaki sayfayı kontrol ederseniz, PRT'yi çalmanın kullanıcı gibi erişim sağlamak için kullanılabileceğini göreceksiniz, bu harika çünkü PRT cihazlarda bulunur, bu nedenle onlardan çalınabilir (veya çalınmazsa yeni imza anahtarları oluşturmak için kötüye kullanılabilir):
Az - Pass the PRTBir saldırganın, ele geçirilmiş bir cihazdan Microsoft cihaz kayıt hizmeti için bir jeton talep etmesi ve kaydetmesi mümkün olacaktır:
Hangi, gelecekte PRT'ler talep etmek için kullanabileceğiniz bir sertifika verecektir. Bu nedenle kalıcılığı sağlamakta ve MFA'yı atlamakta çünkü yeni cihazı kaydetmek için kullanılan orijinal PRT token'ı zaten MFA izinleri verilmişti.
Bu saldırıyı gerçekleştirmek için yeni cihazlar kaydetme izinlerine ihtiyacınız olacağını unutmayın. Ayrıca, bir cihaz kaydetmek, cihazın Intune'a kaydolmasına izin verileceği anlamına gelmez.
Bu saldırı Eylül 2021'de düzeltildi çünkü artık SSO token'ları kullanarak yeni cihazlar kaydedemezsiniz. Ancak, cihazları meşru bir şekilde kaydetmek hala mümkündür (gerekirse kullanıcı adı, şifre ve MFA ile). Kontrol edin: roadtx.
Bir cihaz bileti talep etmek, cihazın mevcut biletini geçersiz kılmak ve akış sırasında PRT'yi çalmak mümkündü (bu nedenle TPM'den çalmaya gerek yok. Daha fazla bilgi için bu konuşmaya bakın.
Ancak, bu düzeltildi.
Orijinal slaytlara buradan bakın
Saldırı özeti:
SSO aracılığıyla bir cihazdan kaydedilmiş WHFB anahtarını geçersiz kılmak mümkündür
Anahtar, yeni anahtarın üretimi sırasında sniffed olduğu için TPM korumasını aşar
Bu ayrıca kalıcılık sağlar
Kullanıcılar, Azure AD Graph aracılığıyla kendi searchableDeviceKey özelliklerini değiştirebilir, ancak saldırganın kiracıda bir cihaza (anlık olarak kaydedilmiş veya meşru bir cihazdan çalınmış sertifika + anahtar) ve AAD Graph için geçerli bir erişim token'ına sahip olması gerekir.
Sonra, yeni bir anahtar oluşturmak mümkündür:
ve ardından searchableDeviceKey'in bilgilerini PATCH edin:
Bir kullanıcıdan cihaz kodu phishing ile bir erişim token'ı almak ve önceki adımları kötüye kullanarak erişimini çalmak mümkündür. Daha fazla bilgi için kontrol edin:
Az - Phishing Primary Refresh Token (Microsoft Entra)AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
