Osnovne informacije

Kada se uređaj pridruži AzureAD-u, novi objekat se kreira u AzureAD-u.

Prilikom registracije uređaja, korisniku se traži da se prijavi sa svojim nalogom (traži se MFA ako je potrebno), zatim se zahtevaju tokeni za uslugu registracije uređaja, nakon čega se postavlja konačni prozor za potvrdu.

Zatim se generišu dva RSA para ključeva na uređaju: ključ uređaja (javni ključ) koji se šalje u AzureAD i transportni ključ (privatni ključ) koji se čuva u TPM-u ako je moguće.

Zatim se generiše objekat u AzureAD-u (ne u Intune-u) i AzureAD vraća uređaju sertifikat potpisan od strane njega. Možete proveriti da li je uređaj pridružen AzureAD-u i informacije o sertifikatu (kao što je da li je zaštićen TPM-om).

dsregcmd /status

Nakon registracije uređaja, Primarni osvežavajući token se zahteva od LSASS CloudAP modula i dodeljuje uređaju. Uz PRT se takođe dostavlja sesijski ključ enkriptovan tako da ga samo uređaj može dešifrovati (koristeći javni ključ transportnog ključa) i potreban je za korišćenje PRT-a.

Za više informacija o tome šta je PRT proverite:

TPM - Modul pouzdanog platformskog modula

TPM štiti od izvlačenja ključeva sa isključenog uređaja (ako je zaštićen PIN-om) i od izvlačenja privatnog materijala sa nivoa OS-a. Međutim, ne štiti od snifovanja fizičke veze između TPM-a i CPU-a ili korišćenja kriptografskog materijala u TPM-u dok sistem radi iz procesa sa pravima SISTEMA.

Ako proverite sledeću stranicu, videćete da ukradeni PRT može biti korišćen za pristup kao korisnik, što je odlično jer se PRT nalazi na uređajima, pa može biti ukraden sa njih (ili ako nije ukraden, zloupotrebljen za generisanje novih potpisnih ključeva):

Registracija uređaja sa SSO tokenima

Bilo bi moguće da napadač zatraži token za Microsoft uslugu registracije uređaja sa kompromitovanog uređaja i registruje ga:

# Initialize SSO flow
roadrecon auth prt-init
.\ROADtoken.exe <nonce>

# Request token with PRT with PRT cookie
roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>

# Custom pyhton script to register a device (check roadtx)
registerdevice.py

Prepisivanje tiketa uređaja

Bilo je moguće zatražiti tiket uređaja, prepisati trenutni tiket uređaja, i tokom toga ukrasti PRT (tako da nije potrebno ukrasti ga sa TPM-a. Za više informacija proverite ovaj govor.

Prepisivanje WHFB ključa

Proverite originalne slajdove ovde

Sažetak napada:

• Moguće je prepisati registrovani WHFB ključ sa uređaja putem SSO

• Pobedjuje TPM zaštitu jer je ključ uhvaćen tokom generisanja novog ključa

• Ovo takođe pruža upornost

Korisnici mogu izmeniti svoj sopstveni searchableDeviceKey svojstvo putem Azure AD Graph-a, međutim, napadač mora imati uređaj u zakupu (registrovan na brzinu ili ukraden sertifikat + ključ sa legitimnog uređaja) i validan pristupni token za AAD Graph.

Zatim, moguće je generisati novi ključ sa:

roadtx genhellokey -d <device id> -k tempkey.key

i zatim IZMENITE informacije o searchableDeviceKey:

Moguće je dobiti pristupni token od korisnika putem device code phishing i zloupotrebiti prethodne korake da ukradete njegov pristup. Za više informacija pogledajte:

Reference

• https://youtu.be/BduCn8cLV1A

• https://www.youtube.com/watch?v=x609c-MUZ_g

• https://www.youtube.com/watch?v=AFay_58QubY