Az - Device Registration

基本信息

当设备加入 AzureAD 时，会在 AzureAD 中创建一个新对象。

注册设备时，用户需要使用其账户登录（如有需要会要求 MFA），然后请求设备注册服务的令牌，最后会弹出一个确认提示。

然后，在设备中生成两个 RSA 密钥对：设备密钥（公钥），发送到 AzureAD，以及 传输密钥（私钥），如果可能的话存储在 TPM 中。

然后，在 AzureAD（而不是 Intune）中生成 对象，AzureAD 会返回给设备一个由其签名的 证书。你可以检查 设备是否已加入 AzureAD 以及关于 证书 的信息（例如是否受 TPM 保护）。

dsregcmd /status

设备注册后，Primary Refresh Token 由 LSASS CloudAP 模块请求并交付给设备。PRT 还会交付会话密钥，该密钥加密后只有设备可以解密（使用传输密钥的公钥），并且需要使用 PRT。

有关 PRT 的更多信息，请查看：

TPM - Trusted Platform Module

TPM 保护设备在断电状态下（如果受 PIN 保护）免受密钥提取，以及防止从操作系统层提取私有材料。 但它不能保护免受嗅探 TPM 和 CPU 之间的物理连接，或在系统运行时从具有SYSTEM 权限的进程中使用 TPM 中的加密材料。

如果查看以下页面，您会发现窃取 PRT 可以像用户一样访问，这很棒，因为PRT 位于设备上，因此可以从设备中窃取（或者如果没有被窃取，可以滥用它来生成新的签名密钥）：

使用 SSO 令牌注册设备

攻击者可以从被攻陷的设备请求 Microsoft 设备注册服务的令牌并注册它：

# Initialize SSO flow
roadrecon auth prt-init
.\ROADtoken.exe <nonce>

# Request token with PRT with PRT cookie
roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>

# Custom pyhton script to register a device (check roadtx)
registerdevice.py

这将给你一个可以用来请求未来PRTs的证书。因此，保持持久性并绕过MFA，因为用于注册新设备的原始PRT令牌已经授予了MFA权限。

覆盖设备票证

曾经可以请求设备票证，覆盖设备的当前票证，并在流程中窃取PRT（因此不需要从TPM中窃取）。更多信息请查看此演讲。

覆盖WHFB密钥

查看原始幻灯片

攻击摘要：

• 可以通过SSO覆盖设备上注册的WHFB密钥

• 它击败了TPM保护，因为密钥在生成新密钥时被嗅探

• 这也提供了持久性

用户可以通过Azure AD Graph修改自己的searchableDeviceKey属性，然而，攻击者需要在租户中有一个设备（即时注册或从合法设备窃取证书+密钥）和一个有效的AAD Graph访问令牌。

然后，可以生成一个新密钥：

roadtx genhellokey -d <device id> -k tempkey.key

然后 PATCH 可搜索设备密钥的信息：

可以通过 device code phishing 从用户那里获取访问令牌，并滥用前面的步骤来 窃取他的访问权限。更多信息请查看：

参考资料

• https://youtu.be/BduCn8cLV1A

• https://www.youtube.com/watch?v=x609c-MUZ_g

• https://www.youtube.com/watch?v=AFay_58QubY