기본 정보

동적 그룹은 구성된 규칙 세트를 가진 그룹으로, 규칙과 일치하는 사용자 또는 장치가 그룹에 추가됩니다. 사용자 또는 장치 속성이 변경될 때마다 동적 규칙이 재확인됩니다. 그리고 새로운 규칙이 생성될 때 모든 장치와 사용자가 확인됩니다.

동적 그룹에는 Azure RBAC 역할이 할당될 수 있지만, 동적 그룹에 AzureAD 역할을 추가할 수는 없습니다.

이 기능에는 Azure AD 프리미엄 P1 라이선스가 필요합니다.

Privesc

기본적으로 Azure AD에서는 모든 사용자가 게스트를 초대할 수 있으므로, 동적 그룹 규칙이 속성을 기반으로 사용자에게 권한을 부여하는 경우, 이러한 속성을 가진 새로운 게스트를 만들고 권한을 상승시킬 수 있습니다. 또한 게스트는 자신의 프로필을 관리하고 이러한 속성을 변경할 수도 있습니다.

동적 멤버십을 허용하는 그룹 가져오기: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}

예시

• 규칙 예시: (user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")

• 규칙 설명: 문자열 'tester'를 포함하는 보조 이메일을 가진 모든 게스트 사용자가 그룹에 추가됩니다.

1. Azure Active Directory로 이동 -> 사용자 및 **Want to switch back to the legacy users list experience? Click here to leave the preview**를 클릭합니다.

2. **New guest user**를 클릭하고 이메일을 초대합니다.

3. 초대장을 보내면 사용자 프로필이 Azure AD에 추가됩니다. 사용자 프로필을 열고 Invitation accepted 아래의 (manage)를 클릭합니다.

4. **Resend invite?**를 Yes로 변경하면 초대 URL을 받을 수 있습니다:

5. URL을 복사하고 열어서 초대된 사용자로 로그인하고 초대를 수락합니다.

6. 사용자로 로그인하여 보조 이메일을 설정합니다.

# 로그인
$password = ConvertTo-SecureString 'password' - AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('externaltester@somedomain.onmicrosoft.com', $Password)
Connect-AzureAD -Credential $creds -TenantId <tenant_id_of_attacked_domain>

# OtherMails 설정 변경
Set-AzureADUser -ObjectId <OBJECT-ID> -OtherMails <Username>@<TENANT_NAME>.onmicrosoft.com -Verbose

참고 자료

• https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/