Az - Device Registration

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

Βασικές Πληροφορίες

Όταν μια συσκευή εντάσσεται στο AzureAD, δημιουργείται ένα νέο αντικείμενο στο AzureAD.

Κατά την εγγραφή μιας συσκευής, ο χρήστης καλείται να συνδεθεί με τον λογαριασμό του (ζητώντας MFA αν είναι απαραίτητο), στη συνέχεια ζητείται η έκδοση διαπιστευτηρίων για την υπηρεσία εγγραφής συσκευής και στη συνέχεια ζητείται μια τελική επιβεβαίωση.

Στη συνέχεια, δημιουργούνται δύο ζεύγη κλειδιών RSA στη συσκευή: Το κλειδί της συσκευής (δημόσιο κλειδί) που αποστέλλεται στο AzureAD και το κλειδί μεταφοράς (ιδιωτικό κλειδί) που αποθηκεύεται στο TPM αν είναι δυνατόν.

Στη συνέχεια, δημιουργείται το αντικείμενο στο AzureAD (όχι στο Intune) και το AzureAD επιστρέφει στη συσκευή ένα πιστοποιητικό που έχει υπογραφεί από αυτό. Μπορείτε να ελέγξετε ότι η συσκευή είναι ενταγμένη στο AzureAD και πληροφορίες σχετικά με το πιστοποιητικό (όπως αν προστατεύεται από TPM).

dsregcmd /status

Μετά την εγγραφή της συσκευής, ο μονάδα CloudAP του LSASS ζητά ένα Πρωτεύον Ανανεωτικό Διακριτικό (Primary Refresh Token - PRT) και το παραδίδει στη συσκευή. Μαζί με το PRT παραδίδεται επίσης το κλειδί συνεδρίας κρυπτογραφημένο, έτσι ώστε μόνο η συσκευή να μπορεί να το αποκρυπτογραφήσει (χρησιμοποιώντας το δημόσιο κλειδί του κλειδιού μεταφοράς) και είναι απαραίτητο για τη χρήση του PRT.

Για περισσότερες πληροφορίες σχετικά με το τι είναι ένα PRT, ανατρέξτε στην ακόλουθη σελίδα:

Az - Primary Refresh Token (PRT)

TPM - Trusted Platform Module

Το TPM (Trusted Platform Module) προστατεύει από την εξαγωγή κλειδιών από μια απενεργοποιημένη συσκευή (εάν προστατεύεται με PIN) και από την εξαγωγή του ιδιωτικού υλικού από το επίπεδο του λειτουργικού συστήματος. Ωστόσο, δεν προστατεύει από τον παρακολούθηση της φυσικής σύνδεσης μεταξύ του TPM και της CPU ή από τη χρήση του κρυπτογραφικού υλικού στο TPM ενώ το σύστημα εκτελείται από ένα διεργασία με δικαιώματα SYSTEM.

Εάν ελέγξετε την ακόλουθη σελίδα, θα δείτε ότι η κλοπή του PRT μπορεί να χρησιμοποιηθεί για να αποκτηθεί πρόσβαση ως χρήστης, πράγμα που είναι εξαιρετικό επειδή το PRT βρίσκεται στις συσκευές, οπότε μπορεί να κλαπεί από αυτές (ή αν δεν κλαπεί, μπορεί να καταχραστεί για τη δημιουργία νέων κλειδιών υπογραφής):

Az - Pass the PRT

Εγγραφή συσκευής με SSO διακριτικά

Είναι δυνατό για έναν επιτιθέμενο να ζητήσει ένα διακριτικό για την υπηρεσία εγγραφής συσκευών της Microsoft από την παραβιασμένη συσκευή και να την εγγράψει:

# Initialize SSO flow
roadrecon auth prt-init
.\ROADtoken.exe <nonce>

# Request token with PRT with PRT cookie
roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>

# Custom pyhton script to register a device (check roadtx)
registerdevice.py

Αυτό θα σας δώσει ένα πιστοποιητικό που μπορείτε να χρησιμοποιήσετε για να ζητήσετε PRTs στο μέλλον. Έτσι διατηρείτε την επιμονή και παρακάμπτετε το MFA επειδή το αρχικό PRT token που χρησιμοποιήθηκε για την εγγραφή της νέας συσκευής ήδη είχε παρασχεθεί άδεια MFA.

Σημειώστε ότι για να πραγματοποιήσετε αυτήν την επίθεση θα χρειαστείτε δικαιώματα για να εγγράψετε νέες συσκευές. Επίσης, η εγγραφή μιας συσκευής δεν σημαίνει ότι η συσκευή θα επιτραπεί να εγγραφεί στο Intune.

Αυτή η επίθεση διορθώθηκε τον Σεπτέμβριο του 2021 καθώς πλέον δεν είναι δυνατή η εγγραφή νέων συσκευών χρησιμοποιώντας SSO tokens. Ωστόσο, εξακολουθεί να είναι δυνατή η εγγραφή συσκευών με νόμιμο τρόπο (έχοντας όνομα χρήστη, κωδικό πρόσβασης και MFA αν απαιτείται). Ελέγξτε: roadtx.

Αντικατάσταση ενός εισιτηρίου συσκευής

Ήταν δυνατό να ζητηθεί ένα εισιτήριο συσκευής, να αντικατασταθεί το τρέχον εισιτήριο της συσκευής και κατά τη διάρκεια της διαδικασίας να κλαπεί το PRT (οπότε δεν χρειάζεται να το κλέψετε από το TPM. Για περισσότερες πληροφορίες ελέγξτε αυτήν την ομιλία.

Ωστόσο, αυτό διορθώθηκε.

Αντικατάσταση του κλειδιού WHFB

Ελέγξτε τις αρχικές διαφάνειες εδώ

Περίληψη της επίθεσης:

  • Είναι δυνατό να αντικατασταθεί το καταχωρημένο κλειδί WHFB από μια συσκευή μέσω SSO

  • Αυτό αναιρεί την προστασία του TPM καθώς το κλειδί καταγράφεται κατά τη διάρκεια της δημιουργίας του νέου κλειδιού

  • Αυτό παρέχει επίσης επιμονή

Οι χρήστες μπορούν να τροποποιήσουν την ιδιότητα searchableDeviceKey μέσω του Azure AD Graph, ωστόσο ο επιτιθέμενος πρέπει να έχει μια συσκευή στον διακομιστή (καταχωρημένη κατά τη διάρκεια της εκτέλεσης ή έχοντας κλέψει πιστοποιητικό + κλειδί από μια νόμιμη συσκευή) και ένα έγκυρο access token για το AAD Graph.

Στη συνέχεια, είναι δυνατό να δημιουργηθεί ένα νέο κλειδί με:

roadtx genhellokey -d <device id> -k tempkey.key

και στη συνέχεια ΤΡΟΠΟΠΟΙΗΣΤΕ τις πληροφορίες του searchableDeviceKey:

Είναι δυνατόν να λάβετε ένα access token από έναν χρήστη μέσω device code phishing και να καταχραστείτε τα προηγούμενα βήματα για να κλέψετε την πρόσβασή του. Για περισσότερες πληροφορίες, ανατρέξτε στο:

Az - Phishing Primary Refresh Token (Microsoft Entra)

Αναφορές

Μάθετε το hacking του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

Last updated