Az - Lateral Movement (Cloud - On-Prem)
Az - Movimento Lateral (Nuvem - On-Prem)
Máquinas On-Prem conectadas à nuvem
Existem diferentes formas de uma máquina se conectar à nuvem:
Associado ao Azure AD
Associado ao Local de Trabalho
Associado Híbrido
Associado ao Local de Trabalho no AADJ ou Híbrido
Tokens e limitações
No Azure AD, existem diferentes tipos de tokens com limitações específicas:
Tokens de acesso: Usados para acessar APIs e recursos como o Microsoft Graph. Eles estão vinculados a um cliente e recurso específicos.
Tokens de atualização: Emitidos para aplicativos obterem novos tokens de acesso. Eles só podem ser usados pelo aplicativo para o qual foram emitidos ou por um grupo de aplicativos.
Tokens de Atualização Primária (PRT): Usados para Logon Único em dispositivos associados ao Azure AD, registrados ou associados híbridos. Eles podem ser usados em fluxos de logon do navegador e para fazer logon em aplicativos móveis e de desktop no dispositivo.
O tipo mais interessante de token é o Token de Atualização Primária (PRT).
pageAz - Primary Refresh Token (PRT)Técnicas de Pivô
Da máquina comprometida para a nuvem:
Passar o Cookie: Roubar cookies do Azure do navegador e usá-los para fazer login
Phishing do Token de Atualização Primária: Pescar o PRT para abusar dele
Passar o PRT: Roubar o PRT do dispositivo para acessar o Azure se passando por ele.
Passar o Certificado: Gerar um certificado com base no PRT para fazer login de uma máquina para outra
De comprometer o AD para comprometer a Nuvem e de comprometer a Nuvem para comprometer o AD:
Outra forma de pivô da nuvem para On-Prem é abusando do Intune
Esta ferramenta permite realizar várias ações como registrar uma máquina no Azure AD para obter um PRT e usar PRTs (legítimos ou roubados) para acessar recursos de várias maneiras diferentes. Estes não são ataques diretos, mas facilitam o uso de PRTs para acessar recursos de diferentes maneiras. Encontre mais informações em https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/
Referências
Última actualización