Osnovne informacije

Azure Conditional Access politike su pravila postavljena u Microsoft Azure-u radi sprovođenja kontrola pristupa Azure uslugama i aplikacijama na osnovu određenih uslova. Ove politike pomažu organizacijama da obezbede svoje resurse primenom odgovarajućih kontrola pristupa u odgovarajućim okolnostima. Uslovi pristupa u osnovi definišu Ko može pristupiti Čemu sa Kojeg mesta i Kako.

Evo nekoliko primera:

1. Politika rizika prijavljivanja: Ova politika može biti postavljena da zahteva višestruku autentifikaciju (MFA) kada se detektuje rizik prijavljivanja. Na primer, ako je ponašanje prijavljivanja korisnika neuobičajeno u poređenju sa njihovim redovnim obrascem, kao što je prijavljivanje iz druge zemlje, sistem može zatražiti dodatnu autentifikaciju.

2. Politika usaglašenosti uređaja: Ova politika može ograničiti pristup Azure uslugama samo uređajima koji su usaglašeni sa sigurnosnim standardima organizacije. Na primer, pristup bi mogao biti dozvoljen samo sa uređaja koji imaju ažuriran antivirus softver ili koriste određenu verziju operativnog sistema.

Bypass-ovi uslova pristupa

Moguće je da uslov pristupa proverava neke informacije koje se lako mogu promeniti, omogućavajući zaobilaženje politike. I ako je na primer politika konfigurisala MFA, napadač će moći da je zaobiđe.

Platforme uređaja - Uslov uređaja

Moguće je postaviti uslov zasnovan na platformi uređaja (Android, iOS, Windows, macOS), međutim, ovo se zasniva na user-agent-u pa je prilično lako zaobići. Čak i ako su sve opcije postavljene da primoravaju MFA, ako koristite user-agent koji nije prepoznat, moći ćete da zaobiđete MFA.

Lokacije: Zemlje, IP opsezi - Uslov uređaja

Naravno, ako je ovo postavljeno u uslovnoj politici, napadač bi jednostavno mogao koristiti VPN u dozvoljenoj zemlji ili pokušati da pronađe način da pristupi sa dozvoljene IP adrese kako bi zaobišao ove uslove.

Office365 klijentske aplikacije

Možete naznačiti da ako klijenti pristupaju Office 365 aplikacijama preko pregledača, potrebna im je MFA:

Da biste zaobišli ovo, moguće je pretvarati se da se prijavljujete u aplikaciju sa desktop aplikacije (na primer u Microsoft Teams u sledećem primeru) što će zaobići zaštitu:

roadrecon auth -u user@email.com -r https://outlook.office.com/ -c 1fec8e78-bce4-4aaf-ab1b-5451cc387264 --tokrns-stdout

<token>

Kako Microsoft Teams aplikacija ima puno dozvola, moći ćete koristiti taj pristup.

SELECT appId, displayName FROM ApplicationRefs WHERE publicCLient = 1 ORDER BY displayName ASC

Ovaj napad je posebno zanimljiv jer će podrazumevano javne Office365 aplikacije imati dozvole za pristup određenim podacima.

Druge aplikacije

Podrazumevano, druge aplikacije koje korisnici kreiraju neće imati dozvole i mogu biti privatne. Međutim, korisnici takođe mogu kreirati javne aplikacije kojima daju određene dozvole.

Potencijalni scenario je postavljanje politike da se zahteva MFA za pristup aplikaciji kada korisnik koristi pregledač (možda zato što je to veb aplikacija i stoga će to biti jedini način), ako postoji proxy aplikacija - aplikacija kojoj je dozvoljeno da interaguje sa drugim aplikacijama u ime korisnika-, korisnik bi mogao da se prijavi u proxy aplikaciju i zatim preko te proxy aplikacije da se prijavi u početno MFA zaštićenu aplikaciju.

Proverite Invoke-MFASweep i donkeytoken tehnike.

Druge Az MFA Bypass opcije

Zvuk zvona

Jedna od opcija Azure MFA je primiti poziv na konfigurisani broj telefona gde će korisniku biti zatraženo da pošalje karakter #.

Usklađeni uređaji

Politike često zahtevaju usklađeni uređaj ili MFA, tako da napadač može registrovati usklađeni uređaj, dobiti PRT token i na taj način zaobići MFA.

Počnite sa registracijom usklađenog uređaja u Intune-u, zatim dobijte PRT sa:

$prtKeys = Get-AADIntuneUserPRTKeys - PfxFileName .\<uuid>.pfx -Credentials $credentials

$prtToken = New-AADIntUserPRTToken -Settings $prtKeys -GertNonce

Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

<token returned>

Pronađite više informacija o ovom tipu napada na sledećoj stranici:

Alati

roadrecon

Dobijanje svih pravila

roadrecon plugin policies

Invoke-MFASweep

MFASweep je PowerShell skripta koja pokušava prijaviti se na različite Microsoft usluge koristeći pruženi set akreditiva i pokušava identifikovati da li je MFA omogućen. Zavisno o tome kako su konfigurisane politike uslovnog pristupa i druga podešavanja višefaktorskog autentikacije, neki protokoli mogu ostati jednofaktorski. Takođe ima dodatnu proveru za ADFS konfiguracije i može pokušati da se prijavi na lokalni ADFS server ako je otkriven.

Invoke-MFASweep -Username <username> -Password <pass>

donkeytoken

Donkey token je skup funkcija koje imaju za cilj da pomognu bezbednosnim konsultantima koji treba da potvrde Politike uslovnog pristupa, testiraju portale kompanije Microsoft koji podržavaju dvofaktornu autentifikaciju, itd.

Import-Module 'C:\Users\Administrador\Desktop\Azure\Modulos ps1\donkeytoken' -Force

Testirajte svaki portal da li je moguće prijaviti se bez MFA:

Test-MFA -credential $cred -Verbose -Debug -InformationAction Continue

Zato što Azure portal nije ograničen, moguće je prikupiti token sa krajnje tačke portala da bi se pristupilo bilo kojoj usluzi detektovanoj tokom prethodnog izvršavanja. U ovom slučaju, Sharepoint je identifikovan, i zatražen je token za pristup:

$token = Get-DelegationTokenFromAzurePortal -credential $cred -token_type microsoft.graph -extension_type Microsoft_Intune
Read-JWTtoken -token $token.access_token

Pretpostavimo da token ima dozvolu Sites.Read.All (iz Sharepointa), čak i ako ne možete pristupiti Sharepointu sa veba zbog MFA, moguće je koristiti token za pristup fajlovima sa generisanim tokenom:

$data = Get-SharePointFilesFromGraph -authentication $token $data[0].downloadUrl

Reference

• https://www.youtube.com/watch?v=yOJ6yB9anZM&t=296s

• https://www.youtube.com/watch?v=xei8lAPitX8