Az - Device Registration

Taarifa za Msingi

Wakati kifaa kinajiunga na AzureAD, kitu kipya kinaumbwa katika AzureAD.

Wakati wa kusajili kifaa, mtumiaji anaombwa kuingia na akaunti yake (akiombwa MFA ikiwa inahitajika), kisha inaomba tokeni kwa huduma ya usajili wa kifaa na kisha inaomba uthibitisho wa mwisho.

Kisha, jozi mbili za funguo za RSA zinaundwa kwenye kifaa: funguo ya kifaa (funguo ya umma) ambayo inatumwa kwa AzureAD na funguo ya usafiri (funguo ya faragha) ambayo inahifadhiwa kwenye TPM ikiwa inawezekana.

Kisha, kitu kinaumbwa katika AzureAD (sio katika Intune) na AzureAD inarudisha kwa kifaa cheti kilichosainiwa nacho. Unaweza kuangalia kwamba kifaa kimejiunga na AzureAD na taarifa kuhusu cheti (kama kinalindwa na TPM).:

dsregcmd /status

Baada ya usajili wa kifaa, Primary Refresh Token huombwa na moduli ya LSASS CloudAP na kupewa kifaa. Pamoja na PRT pia hutolewa ufunguo wa kikao uliosimbwa kwa njia ambayo ni kifaa pekee kinaweza kuusimbua (kutumia ufunguo wa umma wa ufunguo wa usafirishaji) na unahitajika kutumia PRT.

Kwa maelezo zaidi kuhusu PRT angalia:

TPM - Trusted Platform Module

TPM hulinda dhidi ya uchimbaji wa funguo kutoka kwa kifaa kilichozimwa (ikiwa kinalindwa na PIN) na kutoka kwa uchimbaji wa nyenzo za kibinafsi kutoka kwa safu ya OS. Lakini hailindi dhidi ya kunusa muunganisho wa kimwili kati ya TPM na CPU au kutumia nyenzo za kriptografia katika TPM wakati mfumo unafanya kazi kutoka kwa mchakato wenye haki za SYSTEM.

Ikiwa utaangalia ukurasa ufuatao utaona kwamba kuiba PRT kunaweza kutumika kufikia kama mtumiaji, ambayo ni nzuri kwa sababu PRT iko kwenye vifaa, kwa hivyo inaweza kuibwa kutoka kwao (au ikiwa haijaibwa inaweza kutumiwa vibaya kuzalisha funguo mpya za kusaini):

Kusajili kifaa na tokeni za SSO

Inawezekana kwa mshambulizi kuomba tokeni kwa huduma ya usajili wa kifaa cha Microsoft kutoka kwa kifaa kilichovunjwa na kukisajili:

# Initialize SSO flow
roadrecon auth prt-init
.\ROADtoken.exe <nonce>

# Request token with PRT with PRT cookie
roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>

# Custom pyhton script to register a device (check roadtx)
registerdevice.py

Ambayo itakupa cheti unachoweza kutumia kuomba PRTs siku zijazo. Kwa hivyo kudumisha uthabiti na kupita MFA kwa sababu tokeni ya awali ya PRT iliyotumika kusajili kifaa kipya tayari ilikuwa na ruhusa za MFA.

Kubadilisha tiketi ya kifaa

Ilikuwa inawezekana kuomba tiketi ya kifaa, kubadilisha ya sasa ya kifaa, na wakati wa mchakato kuiba PRT (kwa hivyo hakuna haja ya kuiba kutoka kwa TPM. Kwa maelezo zaidi angalia mazungumzo haya.

Kubadilisha ufunguo wa WHFB

Angalia slaidi asili hapa

Muhtasari wa shambulio:

• Inawezekana kubadilisha ufunguo wa WHFB uliosajiliwa kutoka kwa kifaa kupitia SSO

• Inashinda ulinzi wa TPM kwani ufunguo unanaswa wakati wa kizazi cha ufunguo mpya

• Hii pia inatoa uthabiti

Watumiaji wanaweza kubadilisha mali yao ya searchableDeviceKey kupitia Azure AD Graph, hata hivyo, mshambulizi anahitaji kuwa na kifaa kwenye tenant (kilichosajiliwa papo hapo au kuwa na cheti + ufunguo ulioporwa kutoka kwa kifaa halali) na tokeni halali ya ufikiaji kwa AAD Graph.

Kisha, inawezekana kuzalisha ufunguo mpya na:

roadtx genhellokey -d <device id> -k tempkey.key

na kisha PATCH taarifa za searchableDeviceKey:

Inawezekana kupata tokeni ya ufikiaji kutoka kwa mtumiaji kupitia device code phishing na kutumia hatua za awali kuiba ufikiaji wake. Kwa maelezo zaidi angalia:

Marejeleo

• https://youtu.be/BduCn8cLV1A

• https://www.youtube.com/watch?v=x609c-MUZ_g

• https://www.youtube.com/watch?v=AFay_58QubY