Az - Device Registration
मूल जानकारी
जब एक डिवाइस AzureAD में शामिल होता है, तो AzureAD में एक नया ऑब्ज
डिवाइस पंजीकरण के बाद प्राथमिक रिफ्रेश टोकन को LSASS CloudAP मॉड्यूल द्वारा अनुरोधित किया जाता है और डिवाइस को दिया जाता है। PRT के साथ ही सत्र कुंजी इस प्रकार वितरित की जाती है कि केवल डिवाइस ही इसे डिक्रिप्ट कर सकता है (परिवहन कुंजी की सार्वजनिक कुंजी का उपयोग करके) और इसका उपयोग करने के लिए आवश्यक है।
एक पीआरटी क्या है के बारे में अधिक जानकारी के लिए देखें:
pageAz - Primary Refresh Token (PRT)TPM - Trusted Platform Module
TPM एक बंद डिवाइस से कुंजी की निकालन से (यदि पिन द्वारा संरक्षित है) और ओएस परत से निजी सामग्री की निकालन से सुरक्षित रखता है। लेकिन यह TPM नहीं सुरक्षित रखता है TPM और सीपीयू के बीच भौतिक कनेक्शन को स्निफ करने या **TPM में उपयोग करने के दौरान यूज करने के लिए उपकरण में सिस्टम अधिकारों वाले प्रक्रिया से स्रोत सामग्री को नहीं बचाता है।
यदि आप निम्नलिखित पृष्ठ की जाँच करते हैं तो आप देखेंगे कि PRT चोरी करने का उपयोग उपयोगकर्ता के रूप में किया जा सकता है, जो बहुत अच्छा है क्योंकि PRT उपकरणों पर स्थित है, इसलिए इसे उनसे चुराया जा सकता है (या अगर नहीं चुराया गया है तो नए साइनिंग कुंजियों को उत्पन्न करने के लिए दुरुपयोग किया जा सकता है):
pageAz - Pass the PRTSSO टोकन्स के साथ एक डिवाइस को पंजीकृत करना
एक हमलावर के लिए संभव होगा कि उसने कंप्रोमाइज़ डिवाइस से माइक्रोसॉफ्ट डिवाइस पंजीकरण सेवा के लिए टोकन का अनुरोध किया और उसे पंजीकृत करने के लिए:
उससे आपको भविष्य में PRTs के लिए अनुरोध करने के लिए प्रमाणपत्र मिलेगा। इसलिए स्थिरता बनाए रखना और MFA को छलकरना क्योंकि नए डिवाइस को रजिस्टर करने के लिए उपयोग किए गए मूल PRT टोकन में पहले से ही MFA अनुमतियाँ दी गई थीं।
ध्यान दें कि इस हमले को करने के लिए आपको नए डिवाइसों को रजिस्टर करने की अनुमति की आवश्यकता होगी। इसके अलावा, एक डिवाइस को रजिस्टर करना यह नहीं मतलब है कि डिवाइस को इंट्यून में नामांकित किया जाएगा।
यह हमला सितंबर 2021 में ठीक किया गया था क्योंकि अब आप SSO टोकन का उपयोग करके नए डिवाइसों को रजिस्टर नहीं कर सकते। हालांकि, एक वैध तरीके से डिवाइसों को रजिस्टर करना अब भी संभव है (जरूरत पड़ने पर उपयोगकर्ता नाम, पासवर्ड और एमएफए रखना)। जांचें: roadtx।
एक डिवाइस टिकट को अधिलेखित करना
यह संभव था कि एक डिवाइस टिकट का अनुरोध किया जा सकता था, डिवाइस का वर्तमान टिकट अधिलेखित किया जा सकता था, और फ्लो में PRT चुराया जा सकता था (तो TPM से इसे चुराने की आवश्यकता नहीं थी। अधिक जानकारी के लिए इस टॉक की जांच करें।
हालांकि, यह सुधार किया गया था।
WHFB कुंजी को अधिलेखित करना
हमले का सारांश:
एक डिवाइस के वर्तमान WHFB कुंजी को अधिलेखित करना संभव है SSO के माध्यम से
यह TPM संरक्षण को परास्त कर देता है क्योंकि नई कुंजी के उत्पादन के दौरान कुंजी को स्निफ किया जाता है
यह भी स्थिरता प्रदान करता है
उपयोगकर्ता अपनी खोजने योग्य डिवाइसकीकी संपत्ति को अपने आप संशोधित कर सकते हैं आज़्यूर एडी ग्राफ के माध्यम से, हालांकि, हमलावर को टेनेंट में एक डिवाइस होना चाहिए (फ्लाई पर रजिस्टर किया गया या वैध डिवाइस से प्रमाणपत्र + कुंजी चोरी की गई हो) और एडी ग्राफ के लिए एक वैध एक्सेस टोकन होना चाहिए।
फिर, नई कुंजी उत्पन्न करना संभव है:
और फिर खोजने योग्य उपकरण कुंजी की जानकारी को पैच करें:
एक उपयोगकर्ता से एक एक्सेस टोकन प्राप्त करना संभव है और डिवाइस कोड फिशिंग के माध्यम से पिछले कदमों का दुरुपयोग करके उसका एक्सेस चुरा सकते हैं। अधिक जानकारी के लिए जांचें:
pageAz - Phishing Primary Refresh Token (Microsoft Entra)संदर्भ
Last updated