Az - Persistence
불법 동의 부여
기본적으로 모든 사용자는 Azure AD에서 애플리케이션을 등록할 수 있습니다. 따라서 대상 테넌트에 대해 고도의 영향을 미치는 권한이 필요한 애플리케이션을 등록할 수 있습니다. 이를 통해 사용자 대신 메일 보내기, 역할 관리 등의 작업을 수행할 수 있는 피싱 공격을 실행할 수 있습니다. 이러한 공격은 성공할 경우 매우 성과가 좋을 것입니다.
또한, 해당 애플리케이션을 사용자로서 수락함으로써 액세스를 유지할 수도 있습니다.
애플리케이션 및 서비스 주체
Application Administrator, GA 또는 microsoft.directory/applications/credentials/update 권한을 가진 사용자로서, 기존 애플리케이션에 자격 증명(비밀 또는 인증서)을 추가할 수 있습니다.
고 권한을 가진 애플리케이션을 대상으로 지정하거나 고 권한을 가진 새로운 애플리케이션을 추가할 수 있습니다.
애플리케이션에 추가할 수 있는 흥미로운 역할은 Privileged authentication administrator role입니다. 이 역할은 Global Administrators의 비밀번호 재설정을 허용합니다.
이 기술은 또한 MFA 우회를 가능하게 합니다.
인증서 기반 인증을 위해
연합 - 토큰 서명 인증서
온프레미스 AD에서 DA 권한을 가지고 있다면, 매우 긴 유효 기간을 가진 새로운 토큰 서명 및 토큰 복호화 인증서를 생성하고 가져올 수 있습니다. 이를 통해 우리는 ImuutableID를 알고 있는 어떤 사용자로든 로그인할 수 있습니다.
다음 명령을 ADFS 서버의 DA로 실행하여 새 인증서를 생성하고 (기본 암호 'AADInternals' 사용), ADFS에 추가하고 자동 롤오버를 비활성화하고 서비스를 다시 시작합니다.
그런 다음 Azure AD로 인증서 정보를 업데이트하십시오:
연합 - 신뢰하는 도메인
테넌트에서 GA 권한을 가지고 있다면, 새 도메인을 추가할 수 있으며 (검증되어야 함), 인증 유형을 연합으로 구성하고 도메인을 특정 인증서 (아래 명령어의 any.sts)와 발급자를 신뢰하도록 구성할 수 있습니다.
참고 자료
最終更新