Az - Conditional Access Policies / MFA Bypass
मूल जानकारी
Azure Conditional Access policies माइक्रोसॉफ्ट एज़्यूर में सेट किए गए नियम हैं जो कुछ शर्तों के आधार पर एज़्यूर सेवाओं और एप्लिकेशन्स तक पहुंच नियंत्रित करने के लिए हैं। ये नीतियाँ संगठनों की संसाधनों को सुरक्षित बनाने में मदद करती हैं जो सही परिस्थितियों के तहत सही पहुंच नियंत्रण लागू करके। शर्तमुक्त पहुंच नीत
चूंकि Microsoft Teams ऐप में कई अनुमतियाँ हैं, आप उस एक्सेस का उपयोग कर सकेंगे।
आप रोडटूल्स के डेटाबेस में पूर्वनिर्धारित Office365 अनुमतियों के साथ अधिक सार्वजनिक एप्लिकेशन्स का आईडी खोज सकते हैं:
यह हमला विशेष रूप से दिलचस्प है क्योंकि डिफ़ॉल्ट रूप से सार्वजनिक Office365 एप्लिकेशन कुछ डेटा तक पहुंचने की अनुमति रखेंगे।
अन्य एप्लिकेशन
डिफ़ॉल्ट रूप से, उपयोगकर्ताओं द्वारा बनाई गई अन्य एप्लिकेशनों को अनुमतियाँ नहीं होंगी और वे निजी हो सकती हैं। हालांकि, उपयोगकर्ता भी सार्वजनिक एप्लिकेशन बना सकते हैं जिन्हें कुछ अनुमतियाँ दी जा सकती हैं।
एक संभावित स्थिति जहाँ एक नीति सेट की गई है कि एक एप्लिकेशन तक पहुंचने के लिए MFA की आवश्यकता है जब उपयोगकर्ता एक ब्राउज़र का उपयोग कर रहा है (शायद क्योंकि यह एक वेब एप्लिकेशन है और इसलिए यह एकमात्र तरीका होगा), अगर एक प्रॉक्सी एप्लिकेशन है - जो उपयोगकर्ताओं की ओर से अन्य एप्लिकेशनों के साथ संवाद करने की अनुमति देता है-, तो उपयोगकर्ता प्रॉक्सी एप्लिकेशन में लॉगिन कर सकता है और फिर इस प्रॉक्सी एप्लिकेशन के माध्यम से पहले से ही MFA सुरक्षित एप्लिकेशन में लॉगिन कर सकता है।
Invoke-MFASweep और donkeytoken तकनीकों की जांच करें।
अन्य Az MFA बायपास
रिंग टोन
एक Azure MFA विकल्प है कि कॉन्फ़िगर किए गए फ़ोन नंबर में एक कॉल प्राप्त करें जहाँ उपयोगकर्ता से चार #
भेजने के लिए कहा जाएगा।
चार्स केवल टोन्स होते हैं, एक हमलावर फ़ोन नंबर के वॉयसमेल संदेश को कंप्रोमाइज़ कर सकता है, संदेश के रूप में #
का टोन कॉन्फ़िगर कर सकता है और फिर, MFA का अनुरोध करते समय सुनिश्चित कर सकता है कि पीड़ित का फ़ोन व्यस्त है (उसे कॉल कर रहा है) ताकि Azure कॉल को वॉयसमेल पर पुनर्निर्देशित किया जाए।
अनुरूप उपकरण
नीतियाँ अक्सर एक अनुरूप उपकरण या MFA की मांग करती हैं, इसलिए एक हमलावर एक अनुरूप उपकरण रजिस्टर कर सकता है, एक PRT टोकन प्राप्त कर सकता है और इस तरह से MFA को बायपास कर सकता है।
Intune में एक अनुरूप उपकरण रजिस्टर करने से शुरू करें, फिर PRT प्राप्त करें:
उपकरण
सभी नीतियों को प्राप्त करें
MFASweep एक PowerShell स्क्रिप्ट है जो एक दिया गया सेट क्रेडेंशियल का उपयोग करके विभिन्न माइक्रोसॉफ्ट सेवाओं में लॉगिन करने का प्रयास करेगा और यह सामग्री को पहचानने का प्रयास करेगा कि क्या MFA सक्षम है। यहाँ तक कि यदि शर्ताधारित पहुंच नीतियाँ और अन्य बहु-कारक प्रमाणीकरण सेटिंग्स कैसे कॉन्फ़िगर की गई हैं, तो कुछ प्रोटोकॉल एकल कारक रह सकते हैं। इसमें ADFS कॉन्फ़िगरेशन के लिए एक अतिरिक्त जांच भी है और यदि पहचाना जाता है तो ऑन-प्रेम ADFS सर्वर में लॉगिन करने का प्रयास कर सकता है।
डॉनकी टोकन एक सेट कार्यों है जिनका उद्देश्य सुरक्षा सलाहकारों की मदद करना है जो शर्ताधारित पहुंच नीतियों की मान्यता प्रमाणित करने की आवश्यकता है, 2FA सक्षम Microsoft पोर्टल के लिए परीक्षण करता है, आदि।
प्रत्येक पोर्टल की जांच करें यदि MFA के बिना लॉगिन संभव है:
क्योंकि Azure पोर्टल सीमित नहीं है, इसलिए **पोर्टल एंडपॉइंट से टोकन एकत्र करना संभव है ताकि पिछले निष्पादन द्वारा पहचानी गई किसी भी सेवा तक पहुंचा जा सके। इस मामले में Sharepoint पहचाना गया था, और इसे एक्सेस करने के लिए एक टोकन का अनुरोध किया गया था:
मान लीजिए कि टोकन के पास अनुमति Sites.Read.All (शेयरपॉइंट से) है, तो यदि MFA के कारण आप वेब से शेयरपॉइंट तक पहुंच नहीं सकते हैं, तो जनरेट किए गए टोकन के साथ फ़ाइलों तक पहुंचना संभव है:
संदर्भ
Last updated