Az - PTA - Pass-through Authentication
基本情報
ドキュメントから: Azure Active Directory(Azure AD)パススルー認証を使用すると、ユーザーは同じパスワードを使用してオンプレミスおよびクラウドベースのアプリケーションにサインインできます。この機能により、ユーザーはより良いエクスペリエンスを得ることができます - 覚える必要があるパスワードが1つ少なくなり、ユーザーがサインイン方法を忘れる可能性が低くなるため、ITヘルプデスクのコストが削減されます。ユーザーがAzure ADを使用してサインインすると、この機能はユーザーのパスワードをオンプレミスのActive Directoryに直接検証します。
PTAではアイデンティティが同期されますが、PHSのようにパスワードは同期されません。
認証はオンプレミスADで検証され、クラウドとの通信はオンプレミスサーバーで実行される認証エージェントによって行われます(オンプレミスDCである必要はありません)。
認証フロー
ユーザーがログインするために、Azure ADにリダイレクトされ、ユーザー名とパスワードが送信されます
資格情報は暗号化され、Azure ADのキューに設定されます
オンプレミス認証エージェントはキューから資格情報を収集し、それらを復号します。このエージェントは**"パススルー認証エージェント"またはPTAエージェント**と呼ばれます。
エージェントは資格情報をオンプレミスADに対して検証し、応答をAzure ADに送信します。応答が肯定的であれば、ユーザーのログインを完了します。
攻撃者がPTAを侵害すると、キューからすべての資格情報(クリアテキストで)を見ることができます。 また、AzureADに任意の資格情報を検証することもできます(Skeleton keyに類似した攻撃)。
オンプレミス -> クラウド
PTA エージェントが実行されているAzure AD Connectサーバーへの管理者アクセス権がある場合、AADInternalsモジュールを使用して、導入されたすべてのパスワードを検証するバックドアを挿入できます(したがって、すべてのパスワードが認証に有効になります):
インストールに失敗 した場合、おそらく Microsoft Visual C++ 2015 Redistributables が不足している可能性があります。
前のバックドアがインストールされたマシンで、以下のコマンドレットを使用して PTA エージェントに送信された平文パスワードを確認 することも可能です:
このバックドアは次のことを行います:
隠しフォルダ
C:\PTASpy
を作成しますPTASpy.dll
をC:\PTASpy
にコピーしますPTASpy.dll
をAzureADConnectAuthenticationAgentService
プロセスにインジェクトします
AzureADConnectAuthenticationAgent サービスが再起動されると、PTASpy は「アンロード」され、再インストールする必要があります。
クラウド -> オンプレミス
クラウドで GA 権限 を取得した後、攻撃者が制御するマシン に 新しい PTA エージェントを登録 することが可能です。エージェントが セットアップ されると、以前の手順を 繰り返して 任意のパスワードを使用して認証 し、また、平文でパスワードを取得 することができます。
シームレス SSO
PTA と一緒にシームレス SSO を使用することが可能で、他の悪用に対して脆弱です。以下で確認できます:
pageAz - Seamless SSO参考文献
最終更新