Az - Device Registration
Podstawowe informacje
Kiedy urządzenie dołącza do AzureAD, tworzony jest nowy obiekt w AzureAD.
Podczas rejestracji urządzenia użytkownik jest proszony o zalogowanie się na swoje konto (prośba o MFA, jeśli jest to konieczne), następnie żąda tokenów dla usługi rejestracji urządzenia, a następnie prosi o ostateczne potwierdzenie.
Następnie na urządzeniu generowane są dwie pary kluczy RSA: klucz urządzenia (klucz publiczny), który jest wysyłany do AzureAD, oraz klucz transportowy (klucz prywatny), który jest przechowywany w TPM, jeśli to możliwe.
Następnie generowany jest obiekt w AzureAD (nie w Intune), a AzureAD zwraca urządzeniu certyfikat podpisany przez siebie. Można sprawdzić, czy urządzenie jest dołączone do AzureAD oraz informacje o certyfikacie (np. czy jest on chroniony przez TPM).
Po rejestracji urządzenia moduł LSASS CloudAP żąda Podstawowego Tokena Odświeżania (PRT), który jest udzielany urządzeniu. Wraz z PRT dostarczany jest również klucz sesji zaszyfrowany w taki sposób, że tylko urządzenie może go odszyfrować (korzystając z klucza publicznego klucza transportowego) i jest potrzebny do użycia PRT.
Aby uzyskać więcej informacji na temat tego, czym jest PRT, sprawdź:
pageAz - Primary Refresh Token (PRT)TPM - Moduł Platformy Zaufanej
TPM chroni przed wydobyciem klucza z wyłączonego urządzenia (jeśli jest chroniony przez PIN) oraz przed wydobyciem materiału prywatnego z warstwy systemu operacyjnego. Jednakże nie chroni przed przechwytywaniem fizycznego połączenia między TPM a CPU ani przed użyciem materiału kryptograficznego w TPM podczas pracy systemu przez proces z uprawnieniami SYSTEM.
Jeśli sprawdzisz następną stronę, zobaczysz, że ukradzenie PRT może być wykorzystane do uzyskania dostępu jako użytkownik, co jest świetne, ponieważ PRT znajduje się na urządzeniach, więc może zostać skradziony z nich (lub jeśli nie został skradziony, może być nadużyty do generowania nowych kluczy podpisu):
pageAz - Pass the PRTRejestrowanie urządzenia za pomocą tokenów SSO
Byłoby możliwe dla atakującego poprosić o token dla usługi rejestracji urządzenia Microsoft z naruszonego urządzenia i zarejestrować je:
Nadanie certyfikatu, którego możesz użyć do żądania PRT w przyszłości. Utrzymując tym samym trwałość i omijając MFA, ponieważ oryginalny token PRT użyty do zarejestrowania nowego urządzenia już miał przyznane uprawnienia MFA.
Zauważ, że aby przeprowadzić ten atak, będziesz potrzebować uprawnień do rejestrowania nowych urządzeń. Ponadto, zarejestrowanie urządzenia nie oznacza, że urządzenie będzie dopuszczone do zapisania się do Intune.
Ten atak został naprawiony we wrześniu 2021 r., ponieważ nie można już rejestrować nowych urządzeń za pomocą tokenów SSO. Niemniej jednak, nadal możliwe jest zarejestrowanie urządzeń w sposób legalny (posiadając nazwę użytkownika, hasło i MFA, jeśli jest to konieczne). Sprawdź: roadtx.
Nadpisanie biletu urządzenia
Było możliwe żądanie biletu urządzenia, nadpisanie bieżącego biletu urządzenia i podczas procesu ukradzenie PRT (więc nie ma potrzeby kradzieży z TPM. Więcej informacji sprawdź tę prezentację.
Jednakże, to zostało naprawione.
Nadpisanie klucza WHFB
Sprawdź oryginalne slajdy tutaj
Podsumowanie ataku:
Jest możliwe nadpisanie zarejestrowanego klucza WHFB z urządzenia za pomocą SSO
Pokonuje ochronę TPM, ponieważ klucz jest przechwytywany podczas generowania nowego klucza
Zapewnia to również trwałość
Użytkownicy mogą modyfikować swoją własną właściwość searchableDeviceKey za pomocą Azure AD Graph, jednakże, atakujący musi mieć urządzenie w dzierżawie (zarejestrowane na żywo lub skradzione certyfikat + klucz z legalnego urządzenia) oraz ważny token dostępu do AAD Graph.
Następnie, jest możliwe wygenerowanie nowego klucza za pomocą:
Last updated