Az - Device Registration
Grundlegende Informationen
Wenn sich ein Gerät bei AzureAD anmeldet, wird ein neues Objekt in AzureAD erstellt.
Bei der Registrierung eines Geräts wird der Benutzer aufgefordert, sich mit seinem Konto anzumelden (ggf. unter Verwendung von MFA), dann werden Token für den Geräteregistrierungsdienst angefordert und anschließend eine abschließende Bestätigungsprompt angezeigt.
Dann werden zwei RSA-Schlüsselpaare auf dem Gerät generiert: Der Geräteschlüssel (öffentlicher Schlüssel), der an AzureAD gesendet wird, und der Transport-Schlüssel (privater Schlüssel), der bei Möglichkeit im TPM gespeichert wird.
Dann wird das Objekt in AzureAD generiert (nicht in Intune) und AzureAD gibt dem Gerät ein von ihm signiertes Zertifikat zurück. Sie können überprüfen, ob das Gerät bei AzureAD angemeldet ist und Informationen zum Zertifikat abrufen (z. B. ob es durch TPM geschützt ist).
Nach der Geräteanmeldung wird ein Primärer Auffrischungstoken vom LSASS CloudAP-Modul angefordert und an das Gerät übergeben. Mit dem PRT wird auch der Sitzungsschlüssel verschlüsselt übermittelt, sodass nur das Gerät ihn entschlüsseln kann (unter Verwendung des öffentlichen Schlüssels des Transportschlüssels) und er zum Verwenden des PRT benötigt wird.
Für weitere Informationen darüber, was ein PRT ist, siehe:
pageAz - Primary Refresh Token (PRT)TPM - Trusted Platform Module
Das TPM schützt vor der Schlüssel Extraktion von einem ausgeschalteten Gerät (wenn es durch eine PIN geschützt ist) und vor dem Extrahieren des privaten Materials aus der Betriebssystemebene. Es schützt jedoch nicht vor dem Abhören der physischen Verbindung zwischen dem TPM und der CPU oder dem Verwenden des kryptografischen Materials im TPM, während das System von einem Prozess mit SYSTEM-Rechten ausgeführt wird.
Wenn Sie die folgende Seite überprüfen, werden Sie sehen, dass das Stehlen des PRT verwendet werden kann, um auf Benutzer zuzugreifen, was großartig ist, da sich der PRT auf den Geräten befindet, sodass er von ihnen gestohlen werden kann (oder wenn er nicht gestohlen wird, missbraucht werden kann, um neue Signierschlüssel zu generieren):
pageAz - Pass the PRTRegistrierung eines Geräts mit SSO-Token
Es wäre für einen Angreifer möglich, von dem kompromittierten Gerät aus ein Token für den Microsoft-Geräteanmeldedienst anzufordern und es zu registrieren:
Überschreiben eines Gerätetickets
Es war möglich, ein Geräteticket anzufordern, das aktuelle Ticket des Geräts zu überschreiben und während des Ablaufs den PRT zu stehlen (also nicht nötig, ihn aus dem TPM zu stehlen. Für weitere Informationen siehe diesen Vortrag.
Dies wurde jedoch behoben.
Überschreiben des WHFB-Schlüssels
Überprüfen Sie die Originalfolien hier
Angriffszusammenfassung:
Es ist möglich, den registrierten WHFB-Schlüssel eines Geräts über SSO zu überschreiben
Es umgeht den TPM-Schutz, da der Schlüssel beim Generieren des neuen Schlüssels abgefangen wird
Dies bietet auch Persistenz
Benutzer können ihre eigene searchableDeviceKey-Eigenschaft über den Azure AD Graph ändern. Der Angreifer muss jedoch ein Gerät im Mandanten haben (auf die Schnelle registriert oder Zertifikat + Schlüssel von einem legitimen Gerät gestohlen haben) und ein gültiges Zugriffstoken für den AAD-Graphen besitzen.
Dann ist es möglich, einen neuen Schlüssel zu generieren mit:
und dann AKTUALISIEREN Sie die Informationen des searchableDeviceKey:
Es ist möglich, ein Zugriffstoken von einem Benutzer über Gerätecode-Phishing zu erhalten und die vorherigen Schritte zu missbrauchen, um seinen Zugriff zu stehlen. Weitere Informationen finden Sie unter:
pageAz - Phishing Primary Refresh Token (Microsoft Entra)Referenzen
Last updated