Az - Persistence
Illegitime Zustimmungserteilung
Standardmäßig kann sich jeder Benutzer in Azure AD registrieren. Sie können also eine Anwendung registrieren (nur für das Zielmandant), die hohe Auswirkungsberechtigungen mit Admin-Zustimmung benötigt (genehmigen Sie sie, wenn Sie der Administrator sind) - wie das Senden von E-Mails im Namen eines Benutzers, Rollenverwaltung usw. Dies ermöglicht es uns, Phishing-Angriffe durchzuführen, die im Erfolgsfall sehr erfolgreich wären.
Darüber hinaus könnten Sie diese Anwendung auch mit Ihrem Benutzer akzeptieren, um den Zugriff darauf aufrechtzuerhalten.
Anwendungen und Dienstprinzipale
Mit den Berechtigungen eines Anwendungsadministrators, GA oder einer benutzerdefinierten Rolle mit Berechtigungen für microsoft.directory/applications/credentials/update können wir Anmeldeinformationen (Geheimnis oder Zertifikat) zu einer vorhandenen Anwendung hinzufügen.
Es ist möglich, auf eine Anwendung mit hohen Berechtigungen abzuzielen oder eine neue Anwendung mit hohen Berechtigungen hinzuzufügen.
Eine interessante Rolle, die der Anwendung hinzugefügt werden könnte, ist die Rolle des privilegierten Authentifizierungsadministrators, da sie es ermöglicht, das Passwort von Globalen Administratoren zurückzusetzen.
Diese Technik ermöglicht es auch, die MFA zu umgehen.
Für die Authentifizierung basierend auf Zertifikaten
Föderation - Token-Signaturzertifikat
Mit DA-Berechtigungen auf dem lokalen AD ist es möglich, neue Token-Signatur- und Token-Entschlüsselungszertifikate zu erstellen und zu importieren, die eine sehr lange Gültigkeitsdauer haben. Dies ermöglicht es uns, uns als beliebiger Benutzer anzumelden, dessen ImuutableID wir kennen.
Führen Sie den folgenden Befehl als DA auf den ADFS-Server(n) aus, um neue Zertifikate zu erstellen (Standardpasswort 'AADInternals'), fügen Sie sie zu ADFS hinzu, deaktivieren Sie die automatische Rollback-Funktion und starten Sie den Dienst neu:
Dann aktualisieren Sie die Zertifikatinformationen mit Azure AD:
Föderation - Vertrauenswürdige Domäne
Mit GA-Berechtigungen in einem Mandanten ist es möglich, eine neue Domäne hinzuzufügen (muss überprüft werden), ihren Authentifizierungstyp auf Föderiert zu konfigurieren und die Domäne so zu konfigurieren, dass sie einem bestimmten Zertifikat (any.sts im folgenden Befehl) und Herausgeber vertraut:
Referenzen
Last updated