Az - Device Registration
Taarifa Msingi
Wakati kifaa kinajiunga na AzureAD, kifaa kipya huundwa katika AzureAD.
Wakati wa kusajili kifaa, mtumiaji anaulizwa kuingia kwa akaunti yake (akihitaji MFA ikiwa inahitajika), kisha inaomba vibali kwa huduma ya usajili wa kifaa na kisha kuuliza uthibitisho wa mwisho.
Kisha, jozi mbili za RSA huzalishwa kwenye kifaa: funguo la kifaa (funguo la umma) ambalo huletwa kwa AzureAD na funguo la usafirishaji (funguo la binafsi) ambalo hifadhiwa kwenye TPM ikiwezekana.
Kisha, kitu huundwa katika AzureAD (si katika Intune) na AzureAD inarudisha kwa kifaa cheti kilichosainiwa na hiyo. Unaweza kuthibitisha kuwa kifaa kimejiunga na AzureAD na habari kuhusu cheti (kama ikiwa linalindwa na TPM).
Baada ya usajili wa kifaa Primary Refresh Token inahitajika na moduli ya LSASS CloudAP na kutolewa kwa kifaa. Pamoja na PRT, funguo la kikao limefichwa ili kifaa pekee ndilo liweze kulifungua (kwa kutumia funguo ya umma ya funguo la usafirishaji) na linahitajika kutumia PRT.
Kwa habari zaidi kuhusu ni nini PRT angalia:
pageAz - Primary Refresh Token (PRT)TPM - Moduli ya Jukwaa Iliyothibitishwa
TPM inalinda dhidi ya uchimbaji wa funguo kutoka kifaa kilichozimwa (ikiwa inalindwa na PIN) na dhidi ya kuchimba vifaa vya kibinafsi kutoka safu ya OS. Lakini hailindi dhidi ya kuchakura uhusiano wa kimwili kati ya TPM na CPU au kutumia vifaa vya kryptographi katika TPM wakati mfumo unafanya kazi kutoka kwa mchakato wenye haki za SYSTEM.
Ikiwa unachunguza ukurasa ufuatao utaona kwamba kuiba PRT inaweza kutumika kupata ufikiaji kama mtumiaji, ambayo ni nzuri kwa sababu PRT iko kwenye vifaa, hivyo inaweza kuibiwa kutoka kwao (au ikiwa haijaibiwa inaweza kutumiwa vibaya kuzalisha funguo mpya za kusaini):
pageAz - Pass the PRTKusajili kifaa na vibali vya SSO
Inawezekana kwa mshambuliaji kuomba kibali kwa huduma ya usajili wa kifaa cha Microsoft kutoka kwa kifaa kilichoharibiwa na kusajili kifaa hicho:
Kubadilisha tiketi ya kifaa
Ilitakuwa inawezekana kuomba tiketi ya kifaa, kubadilisha ile ya sasa ya kifaa, na wakati wa mchakato kuiba PRT (hivyo hakuna haja ya kuiba kutoka kwa TPM. Kwa maelezo zaidi angalia mazungumzo haya.
Hata hivyo, hili lilirekebishwa.
Kubadilisha funguo za WHFB
Muhtasari wa shambulio:
Inawezekana kubadilisha funguo za WHFB zilizosajiliwa kutoka kwa kifaa kupitia SSO
Inapita ulinzi wa TPM kwa sababu funguo inachukuliwa wakati wa kuzalisha funguo mpya
Hii pia hutoa uthabiti
Watumiaji wanaweza kurekebisha mali yao ya searchableDeviceKey kupitia Azure AD Graph, hata hivyo, mshambuliaji anahitaji kuwa na kifaa katika mpangaji (kusajiliwa papo hapo au kuiba cheti + funguo kutoka kifaa halali) na token halali la ufikiaji kwa AAD Graph.
Kisha, inawezekana kuzalisha funguo mpya na:
and then PATCH the information of the searchableDeviceKey:
Inawezekana kupata tokeni ya ufikiaji kutoka kwa mtumiaji kupitia udanganyifu wa nambari ya kifaa na kutumia hatua za awali kuiba ufikiaji wake. Kwa maelezo zaidi angalia:
pageAz - Phishing Primary Refresh Token (Microsoft Entra)Marejeo
Last updated