Pasar el Certificado (Azure)

En máquinas unidas en Azure, es posible autenticarse de una máquina a otra utilizando certificados que deben ser emitidos por Azure AD CA para el usuario requerido (como sujeto) cuando ambas máquinas admiten el mecanismo de autenticación NegoEx.

En términos super simplificados:

• La máquina (cliente) que inicia la conexión necesita un certificado de Azure AD para un usuario.

• El cliente crea un encabezado de Token Web JSON (JWT) que contiene PRT y otros detalles, lo firma utilizando la Clave Derivada (usando la clave de sesión y el contexto de seguridad) y lo envía a Azure AD.

• Azure AD verifica la firma JWT utilizando la clave de sesión del cliente y el contexto de seguridad, verifica la validez de PRT y responde con el certificado.

En este escenario y después de obtener toda la información necesaria para un ataque de Pasar el PRT:

• Nombre de usuario

• ID de inquilino

• PRT

• Contexto de seguridad

• Clave Derivada

Es posible solicitar un certificado P2P para el usuario con la herramienta PrtToCert:

RequestCert.py [-h] --tenantId TENANTID --prt PRT --userName USERNAME --hexCtx HEXCTX --hexDerivedKey HEXDERIVEDKEY [--passPhrase PASSPHRASE]

Los certificados tendrán la misma duración que el PRT. Para utilizar el certificado, puedes usar la herramienta de Python AzureADJoinedMachinePTC que se autenticará en la máquina remota, ejecutará PSEXEC y abrirá un CMD en la máquina víctima. Esto nos permitirá usar Mimikatz nuevamente para obtener el PRT de otro usuario.

Main.py [-h] --usercert USERCERT --certpass CERTPASS --remoteip REMOTEIP

Referencias

• Para obtener más detalles sobre cómo funciona Pasar el Certificado, consulta la publicación original aquí