Az - Lateral Movement (Cloud - On-Prem)
Az - Movimiento lateral (Nube - Local)
Máquinas locales conectadas a la nube
Existen diferentes formas en las que una máquina puede estar conectada a la nube:
Unido a Azure AD
Unido al lugar de trabajo
Unido híbrido
Unido al lugar de trabajo en AADJ o híbrido
Tokens y limitaciones
En Azure AD, existen diferentes tipos de tokens con limitaciones específicas:
Tokens de acceso: Se utilizan para acceder a APIs y recursos como Microsoft Graph. Están vinculados a un cliente y un recurso específico.
Tokens de actualización: Emitidos a aplicaciones para obtener nuevos tokens de acceso. Solo pueden ser utilizados por la aplicación a la que se emitieron o por un grupo de aplicaciones.
Tokens de actualización primarios (PRT): Utilizados para Inicio de Sesión Único en dispositivos unidos a Azure AD, registrados o unidos de forma híbrida. Pueden ser utilizados en flujos de inicio de sesión del navegador y para iniciar sesión en aplicaciones móviles y de escritorio en el dispositivo.
El tipo de token más interesante es el Token de Actualización Primario (PRT).
pageAz - Primary Refresh Token (PRT)Técnicas de pivoteo
Desde la máquina comprometida a la nube:
Pasar la Cookie: Robar cookies de Azure del navegador y usarlas para iniciar sesión
Phishing del Token de Actualización Primario: Pescar el PRT para abusar de él
Pasar el PRT: Robar el PRT del dispositivo para acceder a Azure haciéndose pasar por él.
Pasar el Certificado: Generar un certificado basado en el PRT para iniciar sesión desde una máquina a otra
Desde comprometer AD hasta comprometer la Nube y desde comprometer la Nube hasta comprometer AD:
Otra forma de pivotar desde la nube a Local es abusando de Intune
Esta herramienta permite realizar varias acciones como registrar una máquina en Azure AD para obtener un PRT y utilizar PRTs (legítimos o robados) para acceder a recursos de varias formas diferentes. Estos no son ataques directos, pero facilita el uso de PRTs para acceder a recursos de diferentes maneras. Encuentra más información en https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/
Referencias
Última actualización