Taarifa Msingi

Sera za Upatikanaji wa Masharti za Azure ni sheria zilizowekwa katika Microsoft Azure kutekeleza udhibiti wa upatikanaji wa huduma na programu za Azure kulingana na mazingira fulani. Sera hizi husaidia mashirika kulinda rasilimali zao kwa kutumia udhibiti sahihi wa upatikanaji chini ya hali sahihi. Sera za upatikanaji wa masharti kimsingi inabainisha Nani anaweza kupata Nini kutoka Wapi na Vipi.

Hapa kuna mifano michache:

1. Sera ya Hatari ya Kuingia: Sera hii inaweza kuwekwa kuhitaji uthibitishaji wa hatua nyingi (MFA) wakati hatari ya kuingia inagunduliwa. Kwa mfano, ikiwa tabia ya kuingia ya mtumiaji ni isiyo ya kawaida ikilinganishwa na mfumo wao wa kawaida, kama vile kuingia kutoka nchi tofauti, mfumo unaweza kuomba uthibitishaji wa ziada.

2. Sera ya Utekelezaji wa Kifaa: Sera hii inaweza kuzuia upatikanaji wa huduma za Azure tu kwa vifaa ambavyo vinazingatia viwango vya usalama vya shirika. Kwa mfano, upatikanaji unaweza kuruhusiwa tu kutoka kwa vifaa vilivyo na programu ya antivirus iliyosasishwa au inayoendesha toleo fulani la mfumo wa uendeshaji.

Kupuuza Sera za Upatikanaji wa Masharti

Inawezekana kwamba sera ya upatikanaji wa masharti ina kagua habari fulani ambayo inaweza kubadilishwa kwa urahisi kuruhusu kupuuza sera. Na ikiwa kwa mfano sera ilikuwa inaendesha MFA, mshambuliaji ataweza kuipuuza.

Majukwaa ya Vifaa - Hali ya Kifaa

Inawezekana kuweka hali kulingana na jukwaa la kifaa (Android, iOS, Windows, macOS), hata hivyo, hii inategemea user-agent hivyo ni rahisi sana kuihepa. Hata kufanya chaguzi zote zilazimishe MFA, ikiwa utatumia user-agent ambayo haitambui utaweza kuipuuza MFA.

Maeneo: Nchi, Vipimo vya IP - Hali ya Kifaa

Bila shaka ikiwa hii imewekwa katika sera ya upatikanaji, mshambuliaji anaweza kutumia VPN katika nchi iliyoruhusiwa au jaribu kupata njia ya kupata kutoka kwa anwani ya IP iliyoruhusiwa ili kuhepa hali hizi.

Programu za Wateja wa Office365

Unaweza kusema kwamba ikiwa wateja wanapata programu za Ofisi 365 kutoka kwa kivinjari wanahitaji MFA:

Kupuuza hii, inawezekana kujifanya unajiingiza kwenye programu kutoka kwa programu ya desktop (kama vile kwa Microsoft Teams kwenye mfano ufuatao) ambayo itapuuza ulinzi:

roadrecon auth -u user@email.com -r https://outlook.office.com/ -c 1fec8e78-bce4-4aaf-ab1b-5451cc387264 --tokrns-stdout

<token>

Kwa kuwa programu ya Microsoft Teams ina idhini nyingi, utaweza kutumia ufikiaji huo.

SELECT appId, displayName FROM ApplicationRefs WHERE publicCLient = 1 ORDER BY displayName ASC

Shambulizi hili ni maalum kwa sababu kwa chaguo-msingi programu za umma za Office365 zitakuwa na ruhusa ya kupata baadhi ya data.

Programu Nyingine

Kwa chaguo-msingi, programu nyingine zilizoundwa na watumiaji hazitakuwa na ruhusa na zinaweza kuwa za kibinafsi. Hata hivyo, watumiaji pia wanaweza kuunda programu za umma zikiwapa baadhi ya ruhusa.

Hali inayowezekana ni pale sera inapowekwa kuhitaji MFA kufikia programu wakati mtumiaji anatumia kivinjari (labda kwa sababu ni programu ya wavuti na hivyo itakuwa njia pekee), ikiwa kuna programu ya proksi - programu inayoruhusiwa kuingiliana na programu nyingine kwa niaba ya watumiaji-, mtumiaji anaweza kuingia kwenye programu ya proksi na kisha kupitia programu hii ya proksi kuingia kwenye programu iliyolindwa awali na MFA.

Angalia Invoke-MFASweep na donkeytoken mbinu.

Mbinu Nyingine za Kupuuza Az MFA

Tone ya Simu

Chaguo moja ya Azure MFA ni kupokea simu kwenye nambari ya simu iliyowekwa ambapo mtumiaji ataulizwa kupeleka herufi #.

Vifaa Vinavyofuata Sheria

Sera mara nyingi inahitaji kifaa kinachofuata sheria au MFA, hivyo mshambuliaji anaweza kujiandikisha kifaa kinachofuata sheria, kupata PRT token na kupuuza njia hii ya MFA.

Anza kwa kujiandikisha kifaa kinachofuata sheria katika Intune, kisha pata PRT na:

$prtKeys = Get-AADIntuneUserPRTKeys - PfxFileName .\<uuid>.pfx -Credentials $credentials

$prtToken = New-AADIntUserPRTToken -Settings $prtKeys -GertNonce

Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

<token returned>

Pata habari zaidi kuhusu aina hii ya shambulizi katika ukurasa ufuatao:

Zana

roadrecon

Pata sera zote

roadrecon plugin policies

Kuchochea-MFASweep

Kuchochea-MFASweep ni script ya PowerShell ambayo inajaribu kuingia kwenye huduma mbalimbali za Microsoft kwa kutumia seti ya maelezo ya kuingia yaliyotolewa na itajaribu kutambua ikiwa MFA imewezeshwa. Kulingana na jinsi sera za upatikanaji wa mazingira na mipangilio mingine ya uthibitishaji wa hatua nyingi zilivyo configure, baadhi ya itifaki zinaweza kuishia kuwa na kiwango kimoja cha uthibitishaji. Pia ina ukaguzi wa ziada kwa mazingira ya ADFS na inaweza kujaribu kuingia kwenye seva ya ADFS ya on-prem ikiwa itagunduliwa.

Invoke-MFASweep -Username <username> -Password <pass>

donkeytoken

Donkey token ni seti ya kazi ambazo lengo lake ni kusaidia washauri wa usalama ambao wanahitaji kuthibitisha Sera za Kufikia Kwa Masharti, kufanya vipimo kwa milango ya Microsoft iliyowezeshwa na 2FA, n.k.

Import-Module 'C:\Users\Administrador\Desktop\Azure\Modulos ps1\donkeytoken' -Force

Jaribu kila mlango ikiwa ni kawaida kuingia bila MFA:

Test-MFA -credential $cred -Verbose -Debug -InformationAction Continue

Kwa sababu Azure portal haizingatiwi, inawezekana kukusanya token kutoka kwenye mwisho wa portal ili kupata upatikanaji wa huduma yoyote iliyogunduliwa na utekelezaji uliopita. Katika kesi hii, Sharepoint iligunduliwa, na token ya kupata ni inahitajika:

$token = Get-DelegationTokenFromAzurePortal -credential $cred -token_type microsoft.graph -extension_type Microsoft_Intune
Read-JWTtoken -token $token.access_token

Kukadiria kwamba token ina idhini ya Sites.Read.All (kutoka kwa Sharepoint), hata kama huwezi kupata Sharepoint kutoka kwenye wavuti kwa sababu ya MFA, ni rahisi kutumia token kufikia faili zilizotengenezwa na token:

$data = Get-SharePointFilesFromGraph -authentication $token $data[0].downloadUrl

Marejeo

• https://www.youtube.com/watch?v=yOJ6yB9anZM&t=296s

• https://www.youtube.com/watch?v=xei8lAPitX8