Az - PTA - Pass-through Authentication
기본 정보
문서에서: Azure Active Directory (Azure AD) 패스스루 인증을 사용하면 사용자가 동일한 암호를 사용하여 온프레미스 및 클라우드 기반 애플리케이션에 로그인할 수 있습니다. 이 기능은 사용자에게 더 나은 경험을 제공하며 - 기억해야 할 암호가 하나 줄어들고 사용자가 로그인하는 방법을 잊을 가능성이 줄어들기 때문에 IT 도움데스크 비용이 감소합니다. 사용자가 Azure AD를 사용하여 로그인할 때, 이 기능은 사용자의 암호를 온프레미스 Active Directory에 직접 검증합니다.
PTA에서 아이덴티티는 동기화되지만 암호는 PHS와 달리 동기화되지 않습니다.
인증은 온프레미스 AD에서 검증되며 클라우드와의 통신은 온프레미스 서버에서 실행되는 인증 에이전트에 의해 수행됩니다 (온프레미스 DC에 있을 필요는 없음).
인증 흐름
사용자가 로그인하려면 Azure AD로 리디렉션되어 사용자 이름과 암호를 보냅니다.
자격 증명은 암호화되어 Azure AD의 대기열에 설정됩니다.
온프레미스 인증 에이전트는 대기열에서 자격 증명을 수집하고 해독합니다. 이 에이전트는 "패스스루 인증 에이전트" 또는 PTA 에이전트라고 합니다.
에이전트는 자격 증명을 온프레미스 AD에 대해 검증하고, 응답을 Azure AD로 다시 보내 해당 응답이 긍정적인 경우 사용자의 로그인을 완료합니다.
공격자가 PTA를 침해하면 대기열에서 모든 자격 증명을 볼 수 있습니다 (평문으로). 또한 AzureAD로 모든 자격 증명을 검증할 수 있습니다 (Skeleton key와 유사한 공격).
온프레미스 -> 클라우드
PTA 에이전트가 실행되는 Azure AD Connect 서버에 관리자 액세스가 있으면 AADInternals 모듈을 사용하여 백도어를 삽입할 수 있습니다. 이를 통해 도입된 모든 암호를 검증하는 백도어를 사용할 수 있습니다 (따라서 모든 암호가 인증에 유효합니다):
만약 설치에 실패한다면, 아마도 Microsoft Visual C++ 2015 Redistributables이(가) 누락된 것일 수 있습니다.
이전 백도어가 설치된 기기에서 다음 cmdlet을 사용하여 PTA 에이전트로 전송된 평문 암호를 확인할 수도 있습니다:
이 백도어는 다음을 수행합니다:
숨겨진 폴더
C:\PTASpy
를 생성합니다.PTASpy.dll
을C:\PTASpy
로 복사합니다.PTASpy.dll
을AzureADConnectAuthenticationAgentService
프로세스에 주입합니다.
AzureADConnectAuthenticationAgent 서비스가 다시 시작될 때, PTASpy는 "언로드"되어 다시 설치해야 합니다.
클라우드 -> 온프레미스
클라우드에서 GA 권한을 획득한 후, 공격자가 제어하는 기계에 새 PTA 에이전트를 등록할 수 있습니다. 에이전트가 설정되면, 이전 단계를 반복하여 모든 비밀번호를 사용하여 인증하고 또한 평문으로 비밀번호를 획득할 수 있습니다.
Seamless SSO
PTA와 함께 Seamless SSO를 사용할 수 있으며, 다른 남용에 취약합니다. 다음에서 확인할 수 있습니다:
pageAz - Seamless SSO참고 자료
最終更新