Az - EntraID Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Зверніть увагу, що не всі детальні дозволи вбудованих ролей в Entra ID можуть бути використані в користувацьких ролях.
Ця роль містить необхідні детальні дозволи для призначення ролей принципам та надання додаткових дозволів ролям. Обидві дії можуть бути зловживані для ескалації привілеїв.
Призначити роль користувачу:
Додати більше дозволів до ролі:
microsoft.directory/applications/credentials/update
Це дозволяє зловмиснику додати облікові дані (паролі або сертифікати) до існуючих застосунків. Якщо застосунок має привілейовані дозволи, зловмисник може автентифікуватися як цей застосунок і отримати ці привілеї.
microsoft.directory/applications.myOrganization/credentials/update
Це дозволяє ті ж дії, що й applications/credentials/update
, але обмежено до однодиректорних застосунків.
microsoft.directory/applications/owners/update
Додавши себе як власника, зловмисник може маніпулювати додатком, включаючи облікові дані та дозволи.
microsoft.directory/applications/allProperties/update
Зловмисник може додати URI перенаправлення до додатків, які використовуються користувачами орендаря, а потім поділитися з ними URL-адресами для входу, які використовують новий URL перенаправлення, щоб вкрасти їх токени. Зверніть увагу, що якщо користувач вже увійшов у додаток, аутентифікація буде автоматичною без необхідності приймати щось.
Зверніть увагу, що також можливо змінити дозволи, які запитує додаток, щоб отримати більше дозволів, але в цьому випадку користувачеві потрібно буде знову прийняти запит на всі дозволи.
microsoft.directory/servicePrincipals/credentials/update
Це дозволяє зловмиснику додавати облікові дані до існуючих службових принципалів. Якщо службовий принципал має підвищені привілеї, зловмисник може прийняти ці привілеї.
Новий згенерований пароль не з'явиться в веб-консолі, тому це може бути прихований спосіб підтримувати постійний доступ до сервісного принципалу.
З API їх можна знайти за допомогою: az ad sp list --query '[?length(keyCredentials) > 0 || length(passwordCredentials) > 0].[displayName, appId, keyCredentials, passwordCredentials]' -o json
Якщо ви отримуєте помилку "code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid."
, це тому, що неможливо змінити властивість passwordCredentials сервісного принципалу, і спочатку потрібно його розблокувати. Для цього вам потрібна дозвіл (microsoft.directory/applications/allProperties/update
), який дозволяє вам виконати:
microsoft.directory/servicePrincipals/synchronizationCredentials/manage
Це дозволяє зловмиснику додавати облікові дані до існуючих службових принципів. Якщо службовий принцип має підвищені привілеї, зловмисник може прийняти ці привілеї.
microsoft.directory/servicePrincipals/owners/update
Схоже на додатки, ця дозволяє додавати більше власників до службового принципалу. Володіння службовим принципалом дозволяє контролювати його облікові дані та дозволи.
Після додавання нового власника я спробував його видалити, але API відповів, що метод DELETE не підтримується, навіть якщо це метод, який потрібно використовувати для видалення власника. Тож ви не можете видалити власників в даний час.
microsoft.directory/servicePrincipals/disable
та enable
Ці дозволи дозволяють вимкнути та увімкнути службові принципали. Зловмисник може використовувати цей дозвіл, щоб увімкнути службовий принципал, до якого він може отримати доступ якимось чином, щоб ескалувати привілеї.
Зверніть увагу, що для цієї техніки зловмиснику знадобляться додаткові дозволи, щоб захопити увімкнений службовий принципал.
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials
& microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials
Ці дозволи дозволяють створювати та отримувати облікові дані для єдиного входу, що може дозволити доступ до сторонніх додатків.
microsoft.directory/groups/allProperties/update
Ця дозволяє додавати користувачів до привілейованих груп, що призводить до ескалації привілеїв.
Примітка: Ця дозволена дія виключає групи, до яких можна призначити роль Entra ID.
microsoft.directory/groups/owners/update
Ця дозволена дія дозволяє стати власником груп. Власник групи може контролювати членство в групі та налаштування, потенційно підвищуючи привілеї в групі.
Примітка: Ця дозволена дія виключає групи, призначені для ролей Entra ID.
microsoft.directory/groups/members/update
Ця дозволена дія дозволяє додавати учасників до групи. Зловмисник може додати себе або шкідливі облікові записи до привілейованих груп, що може надати підвищений доступ.
microsoft.directory/groups/dynamicMembershipRule/update
Цей дозвіл дозволяє оновлювати правило членства в динамічній групі. Зловмисник може змінити динамічні правила, щоб включити себе до привілейованих груп без явного додавання.
Примітка: Ця дозволена дія виключає групи, які можуть бути призначені ролям Entra ID.
Можливо, що користувачі можуть підвищити свої привілеї, змінюючи свої власні властивості, щоб бути доданими як члени динамічних груп. Для отримання додаткової інформації дивіться:
microsoft.directory/users/password/update
Ця дозволена дія дозволяє скинути пароль для неадміністраторів, що дозволяє потенційному зловмиснику підвищити привілеї до інших користувачів. Цю дозволену дію не можна призначити для користувацьких ролей.
microsoft.directory/users/basic/update
Ця привілегія дозволяє змінювати властивості користувача. Зазвичай можна знайти динамічні групи, які додають користувачів на основі значень властивостей, тому ця дозволена дія може дозволити користувачу встановити потрібне значення властивості, щоб стати членом конкретної динамічної групи та підвищити привілеї.
Неправильно налаштовані політики умовного доступу, що вимагають MFA, можуть бути обійдені, перевірте:
microsoft.directory/devices/registeredOwners/update
Ця дозволена дія дозволяє зловмисникам призначати себе власниками пристроїв, щоб отримати контроль або доступ до налаштувань і даних, специфічних для пристроїв.
microsoft.directory/devices/registeredUsers/update
Ця дозволяє зловмисникам асоціювати свій обліковий запис з пристроями, щоб отримати доступ або обійти політики безпеки.
microsoft.directory/deviceLocalCredentials/password/read
Ця дозволяє зловмисникам читати властивості резервних облікових записів локальних адміністраторів для пристроїв, приєднаних до Microsoft Entra, включаючи пароль
microsoft.directory/bitlockerKeys/key/read
Ця дозволяє доступ до ключів BitLocker, що може дозволити зловмиснику розшифрувати диски, порушуючи конфіденційність даних.
microsoft.directory/applications/permissions/update
microsoft.directory/servicePrincipals/permissions/update
microsoft.directory/applications.myOrganization/allProperties/update
microsoft.directory/applications/allProperties/update
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
microsoft.directory/applications/appRoles/update
microsoft.directory/applications.myOrganization/permissions/update
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)