Grundlegende Informationen

Wenn sich ein Gerät bei AzureAD anmeldet, wird ein neues Objekt in AzureAD erstellt.

Bei der Registrierung eines Geräts wird der Benutzer aufgefordert, sich mit seinem Konto anzumelden (ggf. unter Verwendung von MFA), dann werden Token für den Geräteregistrierungsdienst angefordert und anschließend eine abschließende Bestätigungsprompt angezeigt.

Dann werden zwei RSA-Schlüsselpaare auf dem Gerät generiert: Der Geräteschlüssel (öffentlicher Schlüssel), der an AzureAD gesendet wird, und der Transport-Schlüssel (privater Schlüssel), der bei Möglichkeit im TPM gespeichert wird.

Dann wird das Objekt in AzureAD generiert (nicht in Intune) und AzureAD gibt dem Gerät ein von ihm signiertes Zertifikat zurück. Sie können überprüfen, ob das Gerät bei AzureAD angemeldet ist und Informationen zum Zertifikat abrufen (z. B. ob es durch TPM geschützt ist).

dsregcmd /status

Nach der Geräteanmeldung wird ein Primärer Auffrischungstoken vom LSASS CloudAP-Modul angefordert und an das Gerät übergeben. Mit dem PRT wird auch der Sitzungsschlüssel verschlüsselt übermittelt, sodass nur das Gerät ihn entschlüsseln kann (unter Verwendung des öffentlichen Schlüssels des Transportschlüssels) und er zum Verwenden des PRT benötigt wird.

Für weitere Informationen darüber, was ein PRT ist, siehe:

TPM - Trusted Platform Module

Das TPM schützt vor der Schlüssel Extraktion von einem ausgeschalteten Gerät (wenn es durch eine PIN geschützt ist) und vor dem Extrahieren des privaten Materials aus der Betriebssystemebene. Es schützt jedoch nicht vor dem Abhören der physischen Verbindung zwischen dem TPM und der CPU oder dem Verwenden des kryptografischen Materials im TPM, während das System von einem Prozess mit SYSTEM-Rechten ausgeführt wird.

Wenn Sie die folgende Seite überprüfen, werden Sie sehen, dass das Stehlen des PRT verwendet werden kann, um auf Benutzer zuzugreifen, was großartig ist, da sich der PRT auf den Geräten befindet, sodass er von ihnen gestohlen werden kann (oder wenn er nicht gestohlen wird, missbraucht werden kann, um neue Signierschlüssel zu generieren):

Registrierung eines Geräts mit SSO-Token

Es wäre für einen Angreifer möglich, von dem kompromittierten Gerät aus ein Token für den Microsoft-Geräteanmeldedienst anzufordern und es zu registrieren:

# Initialize SSO flow
roadrecon auth prt-init
.\ROADtoken.exe <nonce>

# Request token with PRT with PRT cookie
roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>

# Custom pyhton script to register a device (check roadtx)
registerdevice.py

Überschreiben eines Gerätetickets

Es war möglich, ein Geräteticket anzufordern, das aktuelle Ticket des Geräts zu überschreiben und während des Ablaufs den PRT zu stehlen (also nicht nötig, ihn aus dem TPM zu stehlen. Für weitere Informationen siehe diesen Vortrag.

Überschreiben des WHFB-Schlüssels

Überprüfen Sie die Originalfolien hier

Angriffszusammenfassung:

• Es ist möglich, den registrierten WHFB-Schlüssel eines Geräts über SSO zu überschreiben

• Es umgeht den TPM-Schutz, da der Schlüssel beim Generieren des neuen Schlüssels abgefangen wird

• Dies bietet auch Persistenz

Benutzer können ihre eigene searchableDeviceKey-Eigenschaft über den Azure AD Graph ändern. Der Angreifer muss jedoch ein Gerät im Mandanten haben (auf die Schnelle registriert oder Zertifikat + Schlüssel von einem legitimen Gerät gestohlen haben) und ein gültiges Zugriffstoken für den AAD-Graphen besitzen.

Dann ist es möglich, einen neuen Schlüssel zu generieren mit:

roadtx genhellokey -d <device id> -k tempkey.key

und dann AKTUALISIEREN Sie die Informationen des searchableDeviceKey:

Es ist möglich, ein Zugriffstoken von einem Benutzer über Gerätecode-Phishing zu erhalten und die vorherigen Schritte zu missbrauchen, um seinen Zugriff zu stehlen. Weitere Informationen finden Sie unter:

Referenzen

• https://youtu.be/BduCn8cLV1A

• https://www.youtube.com/watch?v=x609c-MUZ_g

• https://www.youtube.com/watch?v=AFay_58QubY