Az - Conditional Access Policies / MFA Bypass

Taarifa za Msingi

Sera za Azure Conditional Access ni sheria zilizowekwa katika Microsoft Azure ili kutekeleza udhibiti wa ufikiaji wa huduma na programu za Azure kulingana na hali fulani. Sera hizi husaidia mashirika kulinda rasilimali zao kwa kutumia udhibiti sahihi wa ufikiaji chini ya hali sahihi. Sera za ufikiaji wa masharti kimsingi zinafafanua Nani anaweza kufikia Nini kutoka Wapi na Jinsi.

Hapa kuna mifano michache:

1. Sera ya Hatari ya Kuingia: Sera hii inaweza kuwekwa ili kuhitaji uthibitishaji wa vipengele vingi (MFA) wakati hatari ya kuingia inagunduliwa. Kwa mfano, ikiwa tabia ya kuingia ya mtumiaji ni isiyo ya kawaida ikilinganishwa na muundo wao wa kawaida, kama vile kuingia kutoka nchi tofauti, mfumo unaweza kuomba uthibitishaji wa ziada.

2. Sera ya Uzingatiaji wa Kifaa: Sera hii inaweza kuzuia ufikiaji wa huduma za Azure tu kwa vifaa ambavyo vinakubaliana na viwango vya usalama vya shirika. Kwa mfano, ufikiaji unaweza kuruhusiwa tu kutoka kwa vifaa ambavyo vina programu ya antivirus iliyosasishwa au vinaendesha toleo fulani la mfumo wa uendeshaji.

Njia za Kuepuka Sera za Ufikiaji wa Masharti

Inawezekana kwamba sera ya ufikiaji wa masharti inaangalia taarifa fulani ambazo zinaweza kubadilishwa kwa urahisi kuruhusu kuepuka sera hiyo. Na ikiwa kwa mfano sera ilikuwa inasanidi MFA, mshambuliaji ataweza kuipita.

Majukwaa ya Vifaa - Hali ya Kifaa

Inawezekana kuweka hali kulingana na jukwaa la kifaa (Android, iOS, Windows, macOS), hata hivyo, hii inategemea user-agent hivyo ni rahisi kuipita. Hata kufanya chaguzi zote kutekeleza MFA, ikiwa utatumia user-agent ambayo haitambui utaweza kuipita MFA.

Maeneo: Nchi, safu za IP - Hali ya Kifaa

Bila shaka ikiwa hii imewekwa katika sera ya masharti, mshambuliaji anaweza tu kutumia VPN katika nchi inayoruhusiwa au kujaribu kupata njia ya kufikia kutoka anwani ya IP inayoruhusiwa ili kuepuka hali hizi.

Programu za Wateja wa Office365

Unaweza kuonyesha kwamba ikiwa wateja wanapata programu za Office 365 kutoka kwa kivinjari wanahitaji MFA:

Ili kuepuka hii, inawezekana kujifanya unaingia kwenye programu kutoka kwa programu ya desktop (kama vile Microsoft Teams katika mfano ufuatao) ambayo itapita ulinzi:

roadrecon auth -u user@email.com -r https://outlook.office.com/ -c 1fec8e78-bce4-4aaf-ab1b-5451cc387264 --tokrns-stdout

<token>

Kama programu ya Microsoft Teams ina ruhusa nyingi, utaweza kutumia ufikiaji huo.

SELECT appId, displayName FROM ApplicationRefs WHERE publicCLient = 1 ORDER BY displayName ASC

Shambulio hili ni la kuvutia sana kwa sababu kwa chaguo-msingi programu za umma za Office365 zitakuwa na ruhusa za kufikia baadhi ya data.

Programu zingine

Kwa chaguo-msingi, programu zingine zilizoundwa na watumiaji hazitakuwa na ruhusa na zinaweza kuwa za kibinafsi. Hata hivyo, watumiaji wanaweza pia kuunda programu za umma na kuwapa baadhi ya ruhusa.

Hali inayowezekana ambapo sera imewekwa ili kuhitaji MFA kufikia programu wakati mtumiaji anatumia kivinjari (labda kwa sababu ni programu ya wavuti na kwa hivyo itakuwa njia pekee), ikiwa kuna programu ya wakala -programu inayoruhusiwa kuingiliana na programu zingine kwa niaba ya watumiaji-, mtumiaji anaweza kuingia kwenye programu ya wakala na kisha kupitia programu hii ya wakala kuingia kwenye programu iliyolindwa na MFA awali.

Angalia mbinu za Invoke-MFASweep na donkeytoken.

Njia Nyingine za Az MFA Bypass

Ring tone

Chaguo moja la Azure MFA ni kupokea simu kwenye nambari ya simu iliyosanidiwa ambapo mtumiaji ataombwa kutuma herufi #.

Vifaa Vilivyokubalika

Sera mara nyingi huomba kifaa kilichokubalika au MFA, hivyo mshambulizi anaweza kusajili kifaa kilichokubalika, kupata tokeni ya PRT na kupita njia hii ya MFA.

Anza kwa kusajili kifaa kilichokubalika katika Intune, kisha pata PRT na:

$prtKeys = Get-AADIntuneUserPRTKeys - PfxFileName .\<uuid>.pfx -Credentials $credentials

$prtToken = New-AADIntUserPRTToken -Settings $prtKeys -GertNonce

Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

<token returned>

Pata maelezo zaidi kuhusu aina hii ya shambulio katika ukurasa ufuatao:

Vifaa

roadrecon

Pata sera zote

roadrecon plugin policies

Invoke-MFASweep

MFASweep ni script ya PowerShell inayojaribu kuingia kwenye huduma mbalimbali za Microsoft kwa kutumia seti ya hati zilizotolewa na itajaribu kubaini kama MFA imewezeshwa. Kulingana na jinsi sera za ufikiaji wa masharti na mipangilio mingine ya uthibitishaji wa vipengele vingi imewekwa, baadhi ya itifaki zinaweza kuachwa na kipengele kimoja. Pia ina ukaguzi wa ziada kwa usanidi wa ADFS na inaweza kujaribu kuingia kwenye seva ya ADFS ya ndani ikiwa itagunduliwa.

Invoke-MFASweep -Username <username> -Password <pass>

donkeytoken

Donkey token ni seti ya kazi ambazo zinalenga kusaidia washauri wa usalama ambao wanahitaji kuthibitisha Sera za Ufikiaji wa Masharti, majaribio ya milango ya Microsoft yenye 2FA, n.k.

Import-Module 'C:\Users\Administrador\Desktop\Azure\Modulos ps1\donkeytoken' -Force

Jaribu kila portal kama inawezekana kuingia bila MFA:

Test-MFA -credential $cred -Verbose -Debug -InformationAction Continue

Kwa sababu Azure portal haijazuiliwa inawezekana kukusanya tokeni kutoka kwa portal endpoint ili kufikia huduma yoyote iliyogunduliwa na utekelezaji wa awali. Katika kesi hii Sharepoint ilitambuliwa, na tokeni ya kuifikia inaombwa:

$token = Get-DelegationTokenFromAzurePortal -credential $cred -token_type microsoft.graph -extension_type Microsoft_Intune
Read-JWTtoken -token $token.access_token

Kudhani token ina ruhusa ya Sites.Read.All (kutoka Sharepoint), hata kama huwezi kufikia Sharepoint kutoka wavuti kwa sababu ya MFA, inawezekana kutumia token kufikia faili na token iliyotengenezwa:

$data = Get-SharePointFilesFromGraph -authentication $token $data[0].downloadUrl

Marejeo

• https://www.youtube.com/watch?v=yOJ6yB9anZM&t=296s

• https://www.youtube.com/watch?v=xei8lAPitX8