Az - Persistence
Concesión de Consentimiento Ilícito
Por defecto, cualquier usuario puede registrar una aplicación en Azure AD. Por lo tanto, puedes registrar una aplicación (solo para el inquilino objetivo) que requiera permisos de alto impacto con consentimiento de administrador (aprobarlo si eres el administrador) - como enviar correos en nombre de un usuario, gestión de roles, etc. Esto nos permitirá realizar ataques de phishing que serían muy fructíferos en caso de éxito.
Además, también podrías aceptar esa aplicación con tu usuario como una forma de mantener acceso sobre ella.
Aplicaciones y Principales de Servicio
Con privilegios de Administrador de Aplicaciones, GA o un rol personalizado con permisos de actualización de credenciales de microsoft.directory/aplicaciones, podemos agregar credenciales (secreto o certificado) a una aplicación existente.
Es posible apuntar a una aplicación con permisos elevados o agregar una nueva aplicación con permisos elevados.
Un rol interesante para agregar a la aplicación sería el rol de administrador de autenticación privilegiada ya que permite restablecer la contraseña de los Administradores Globales.
Esta técnica también permite burlar la MFA.
Para la autenticación basada en certificados
Federación - Certificado de Firma de Token
Con privilegios de DA en AD local, es posible crear e importar nuevos certificados de firma de token y certificados de descifrado de token que tengan una validez muy larga. Esto nos permitirá iniciar sesión como cualquier usuario cuyo ImmutableID conozcamos.
Ejecute el siguiente comando como DA en el servidor(es) ADFS para crear nuevos certificados (contraseña predeterminada 'AADInternals'), agregarlos a ADFS, deshabilitar el cambio automático y reiniciar el servicio:
Luego, actualiza la información del certificado con Azure AD:
Federación - Dominio de confianza
Con privilegios de GA en un inquilino, es posible agregar un nuevo dominio (debe ser verificado), configurar su tipo de autenticación como Federado y configurar el dominio para confiar en un certificado específico (any.sts en el comando a continuación) y emisor:
Referencias
Última actualización