Temel Bilgiler

Bir cihaz AzureAD'ye katıldığında, AzureAD'de yeni bir nesne oluşturulur.

Bir cihaz kaydedildiğinde, kullanıcı hesabıyla giriş yapması istenir (gerektiğinde MFA istenir), ardından cihaz kayıt hizmeti için token'lar istenir ve son olarak bir onay istemi alınır.

Daha sonra, cihazda iki RSA anahtar çifti oluşturulur: Cihaz anahtarı (genel anahtar), AzureAD'ye gönderilir ve taşıma anahtarı (özel anahtar), mümkünse TPM'de saklanır.

Ardından, nesne AzureAD'de (Intune'da değil) oluşturulur ve AzureAD, cihaza tarafından imzalanmış bir sertifika verir. Cihazın AzureAD'ye katıldığını ve sertifika hakkında bilgileri (TPM tarafından korunup korunmadığı gibi) kontrol edebilirsiniz.

dsregcmd /status

Cihaz kaydından sonra, LSASS CloudAP modülü tarafından bir Birincil Yenileme Belirteci (PRT) istenir ve cihaza verilir. PRT ile birlikte, yalnızca cihazın şifrelemesini çözebileceği şekilde şifrelenmiş oturum anahtarı (taşıma anahtarının genel anahtarı kullanılarak) de teslim edilir ve PRT'yi kullanmak için gereklidir.

Bir PRT'nin ne olduğu hakkında daha fazla bilgi için şu adrese bakın:

TPM - Güvenilir Platform Modülü

TPM, bir cihazın kapatıldığında (PIN ile korunuyorsa) anahtarın çıkarılmasına karşı koruma sağlar ve özel materyalin işletim sistemi katmanından çıkarılmasına karşı koruma sağlar. Ancak, TPM ve CPU arasındaki fiziksel bağlantının dinlenmesine veya sistem HAKLARIYLA çalışan bir işlem tarafından TPM'deki kriptografik materyalin kullanılmasına karşı koruma sağlamaz.

Aşağıdaki sayfayı kontrol ederseniz, PRT'nin çalınması yeni bir imza anahtarı oluşturmak için kullanılabileceği gibi, bir kullanıcı gibi erişim sağlamak için de kullanılabilir:

SSO belirteçleriyle bir cihaz kaydetme

Saldırgan, etkilenen cihazdan Microsoft cihaz kayıt hizmeti için bir belirteç talep edebilir ve kaydedebilir:

# Initialize SSO flow
roadrecon auth prt-init
.\ROADtoken.exe <nonce>

# Request token with PRT with PRT cookie
roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>

# Custom pyhton script to register a device (check roadtx)
registerdevice.py

Cihaz biletini üzerine yazma

Cihaz biletini istemek, cihazın mevcut biletini üzerine yazmak ve akış sırasında PRT'yi çalmak mümkündü (bu nedenle TPM'den çalmaya gerek yok. Daha fazla bilgi için bu konuşmayı kontrol edin.

WHFB anahtarını üzerine yazma

Orijinal slaytları buradan kontrol edin](https://dirkjanm.io/assets/raw/Windows%20Hello%20from%20the%20other%20side_nsec_v1.0.pdf)

Saldırı özeti:

• SSO aracılığıyla bir cihazın kayıtlı WHFB anahtarını üzerine yazmak mümkündür

• Yeni anahtarın oluşturulması sırasında anahtarın TPM korumasını geçer.

• Bu aynı zamanda süreklilik sağlar

Kullanıcılar Azure AD Graph üzerinden kendi searchableDeviceKey özelliğini değiştirebilir, ancak saldırganın kiracıda bir cihaza (uçtan uca kaydedilmiş veya meşru bir cihazdan çalınan sertifika + anahtar) ve AAD Graph için geçerli bir erişim belirteci olması gerekmektedir.

Daha sonra, yeni bir anahtar oluşturmak mümkündür:

roadtx genhellokey -d <device id> -k tempkey.key

ve ardından searchableDeviceKey bilgilerini GÜNCELLEYİN:

Bir kullanıcının erişim jetonunu cihaz kodu dolandırıcılığı ile almak ve önceki adımları kullanarak erişimini çalmak mümkündür. Daha fazla bilgi için kontrol edin:

Referanslar

• https://youtu.be/BduCn8cLV1A

• https://www.youtube.com/watch?v=x609c-MUZ_g

• https://www.youtube.com/watch?v=AFay_58QubY