यह पोस्ट https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/ का सारांश है जिसे हम आक्रमण के बारे में अधिक जानकारी के लिए जांच सकते हैं। यह तकनीक https://www.youtube.com/watch?v=AFay_58QubY** में भी टिप्पणी की गई है।**

मूल जानकारी

विश्वास

जब Azure AD के साथ एक विश्वास स्थापित होता है, एक Read Only Domain Controller (RODC) AD में बनाया जाता है। RODC कंप्यूटर खाता, जिसका नाम AzureADKerberos$ है। साथ ही, एक द्वितीय krbtgt खाता नाम krbtgt_AzureAD है। यह खाता Azure AD द्वारा बनाए गए टिकट के लिए उपयोग किए जाने वाले Kerberos कुंजियाँ शामिल करता है।

इसलिए, यदि यह खाता संक्रमित हो जाता है तो किसी भी उपयोगकर्ता का अनुकरण किया जा सकता है... हालांकि यह सच नहीं है क्योंकि यह खाता किसी भी सामान्य विशेषाधिकारी एडी समूह जैसे डोमेन व्यवस्थापक, एंटरप्राइज व्यवस्थापक, प्रशासकों के लिए टिकट बनाने से रोका गया है...

कर्बेरोस TGT

इसके अतिरिक्त, जब एक उपयोगकर्ता हाइब्रिड पहचान का उपयोग करके Windows पर प्रमाणित होता है Azure AD तो यह आंशिक कर्बेरोस टिकट को PRT के साथ जारी करेगा। TGT आंशिक होता है क्योंकि AzureAD के पास उपयोगकर्ता के बारे में सीमित जानकारी होती है ऑन-प्रेम AD में (जैसे सुरक्षा पहचानकर्ता (SID) और नाम)। Windows फिर इस आंशिक TGT को पूर्ण TGT के लिए एक सेवा टिकट का अनुरोध करके विनिमय कर सकता है krbtgt सेवा के लिए।

NTLM

क्योंकि कुछ सेवाएं कर्बेरोस प्रमाणीकरण का समर्थन नहीं कर सकती है लेकिन NTLM, इसलिए संभावना है कि एक आंशिक TGT का अनुरोध किया जा सकता है जिसे एक द्वितीय krbtgt कुंजी से हस्ताक्षरित किया गया है जिसमें अनुरोध के PADATA भाग में KERB-KEY-LIST-REQ फ़ील्ड शामिल है और फिर प्रतिक्रिया में प्राथमिक krbtgt कुंजी से हस्ताक्षरित पूर्ण TGT शामिल है एनटी हैश।

डोमेन व्यवस्थापक प्राप्त करने के लिए क्लाउड कर्बेरोस विश्वास का दुरुपयोग

जब AzureAD एक आंशिक TGT उत्पन्न करेगा तो यह उपयोगकर्ता के बारे में जानकारी जो उसके पास है, का उपयोग करेगा। इसलिए, यदि एक ग्लोबल व्यवस्थापक उपयोगकर्ता के जैसे डेटा को संशोधित कर सकता है AzureAD में सुरक्षा पहचानकर्ता और उपयोगकर्ता का नाम, तो जब उस उपयोगकर्ता के लिए एक TGT का अनुरोध किया जाएगा तो सुरक्षा पहचानकर्ता एक अलग होगा।

इसे माइक्रोसॉफ्ट ग्राफ़ या एज़्यूर AD ग्राफ़ के माध्यम से नहीं किया जा सकता है, लेकिन इसका उपयोग किया जा सकता है API Active Directory Connect जिसका उपयोग ग्लोबल व्यवस्थापक द्वारा किए गए समकलीन उपयोगकर्ताओं को संशोधित करने और अपडेट करने के लिए किया जाता है, जिसे उपयोगकर्ता के SAM नाम और SID को संशोधित करने के लिए ग्लोबल व्यवस्थापक द्वारा उपयोग किया जा सकता है, और फिर अगर हम प्रमाणित होते हैं, तो हमें संशोधित SID वाला आंशिक TGT मिलता है।

ध्यान दें कि हम इसे AADInternals के साथ कर सकते हैं और Set-AADIntAzureADObject cmdlet के माध्यम से समकलीन उपयोगकर्ताओं को अपडेट कर सकते हैं।

हमले की पूर्वापेक्षाएँ

हमले की सफलता और डोमेन व्यवस्थापक विशेषाधिकार प्राप्ति के लिए कुछ निश्चित पूर्वापेक्षाएँ पूरी करने पर निर्भर हैं:

• खातों को संशोधित करने की क्षमता समकलीन API के माध्यम से महत्वपूर्ण है। इसे ग्लोबल व्यवस्थापक की भूमिका होने से प्राप्त किया जा सकता है या एडी कनेक्ट सिंक खाता होने से। वैकल्पिक रूप से, हाइब्रिड पहचान प्रशासक भूमिका पर्याप्त होगी, क्योंकि इससे AD Connect को प्रबंधित करने और नए सिंक खाते स्थापित करने की क्षमता प्राप्त होती है।

• हाइब्रिड खाता महत्वपूर्ण है। इस खाते को पीडीएम के विवादित खाते के विवरणों के साथ संशोधित किया जा सकना चाहिए और इसे प्रमाणीकरण के लिए भी पहुंचने योग्य होना चाहिए।

• एक लक्ष्य शिकार शिकार खाता की पहचान एक आवश्यकता है। हालांकि हमला किसी भी पहले सिंक्रनाइज़ किए गए खाते पर किया जा सकता है, एज़्यूर AD किरायेदार को प्राथमिक रूप से अपने-परिसर में सुरक्षा पहचानकर्ताओं को प्रतिलिपि नहीं करनी चाहिए, जिससे एक असमकलीन खाते को संशोधित करने की आवश्यकता होती है टिकट