Basiese Inligting

Wanneer 'n toestel by AzureAD aansluit, word 'n nuwe objek in AzureAD geskep.

Met die registrasie van 'n toestel, word die gebruiker gevra om in te teken met sy rekening (vra om MFA indien nodig), dan versoek dit tokens vir die toestelregistrasiediens en vra dan 'n finale bevestigingsvenster.

Dan word twee RSA-sleutelpare op die toestel gegenereer: Die toestelsleutel (publieke sleutel) wat na AzureAD gestuur word en die vervoer sleutel (privaat sleutel) wat indien moontlik in TPM gestoor word.

Dan word die objek gegenereer in AzureAD (nie in Intune nie) en AzureAD gee aan die toestel 'n sertifikaat wat deur dit onderteken is. Jy kan nagaan dat die toestel by AzureAD aangesluit is en inligting oor die sertifikaat (soos of dit deur TPM beskerm word).

dsregcmd /status

Na die toestelregistrasie word 'n Primêre Verfrissingsleutel aangevra deur die LSASS CloudAP-module en aan die toestel gegee. Saam met die PRT word ook die sessiesleutel versleutel sodat slegs die toestel dit kan ontsluit (deur die openbare sleutel van die vervoersleutel te gebruik) en dit is nodig om die PRT te gebruik.

Vir meer inligting oor wat 'n PRT is, kyk:

TPM - Vertroude Platform Module

Die TPM beskerm teen sleutel onttrekking van 'n afgeskakelde toestel (indien beskerm deur 'n PIN) en teen die ontginning van die private materiaal van die OS-laag. Maar dit beskerm nie teen snuffel van die fisiese verbinding tussen die TPM en CPU of teen die gebruik van die kriptografiese materiaal in die TPM terwyl die stelsel van 'n proses met SYSTEM regte hardloop nie.

As jy die volgende bladsy nagaan, sal jy sien dat die steel van die PRT gebruik kan word om toegang te verkry soos 'n gebruiker, wat wonderlik is omdat die PRT op toestelle geleë is, sodat dit van hulle gesteel kan word (of indien nie gesteel nie, misbruik kan word om nuwe ondertekeningsleutels te genereer):

Registrasie van 'n toestel met SSO-tokens

Dit sou moontlik wees vir 'n aanvaller om 'n token vir die Microsoft-toestelregistrasiediens vanaf die gekompromitteerde toestel aan te vra en dit te registreer:

# Initialize SSO flow
roadrecon auth prt-init
.\ROADtoken.exe <nonce>

# Request token with PRT with PRT cookie
roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>

# Custom pyhton script to register a device (check roadtx)
registerdevice.py

Oorskryf 'n toestelkaartjie

Dit was moontlik om 'n toestelkaartjie aan te vra, die huidige een van die toestel te oor skryf, en tydens die vloei die PRT te steel (dus geen nodig om dit van die TPM te steel nie. Vir meer inligting kyk hierdie aanbieding.

Oorskryf WHFB-sleutel

Kyk na die oorspronklike dia's hier

Aanval opsomming:

• Dit is moontlik om die geregistreerde WHFB sleutel van 'n toestel via SSO te oor skryf

• Dit verslaan TPM beskerming aangesien die sleutel gesniff word tydens die generering van die nuwe sleutel

• Dit bied ook volharding

Gebruikers kan hul eie searchableDeviceKey eienskap wysig via die Azure AD Grafiek, maar die aanvaller moet 'n toestel in die huurder hê (geregistreer op die vlieg of 'n sertifikaat + sleutel gesteel van 'n regmatige toestel) en 'n geldige toegangstoken vir die AAD Grafiek hê.

Daarna is dit moontlik om 'n nuwe sleutel te genereer met:

roadtx genhellokey -d <device id> -k tempkey.key

en dan WYSIG die inligting van die searchableDeviceKey:

Dit is moontlik om 'n toegangstoken van 'n gebruiker te kry via toestelkoderoffeling en die vorige stappe te misbruik om sy toegang te steel. Vir meer inligting, kyk:

Verwysings

• https://youtu.be/BduCn8cLV1A

• https://www.youtube.com/watch?v=x609c-MUZ_g

• https://www.youtube.com/watch?v=AFay_58QubY