Az - Yanal Hareket (Bulut - On-Prem)

Buluta bağlı On-Prem makineler

Bir makine buluta bağlı olabilecek farklı yollar vardır:

Azure AD'ye katılmış

Workplace'a katılmış

Karma katılım

AADJ veya Karma üzerinde Workplace'a katılmış

Jetonlar ve sınırlamalar

Azure AD'de belirli sınırlamalara sahip farklı türde jetonlar bulunur:

• Erişim jetonları: Microsoft Graph gibi API'ları ve kaynakları erişmek için kullanılır. Belirli bir istemci ve kaynağa bağlıdır.

• Yenileme jetonları: Uygulamalara yeni erişim jetonları almak için verilir. Yalnızca verildiği uygulama veya bir grup uygulama tarafından kullanılabilir.

• Birincil Yenileme Jetonları (PRT): Azure AD'ye katılmış, kayıtlı veya karma katılımlı cihazlarda Tek Oturum Açma için kullanılır. Tarayıcı oturum açma akışlarında ve cihazdaki mobil ve masaüstü uygulamalara giriş yapmak için kullanılabilir.

En ilginç jeton türü Birincil Yenileme Jetonu (PRT)'dur.

Dönüş Teknikleri

Kompromize edilmiş bir makineden buluta:

• Çerez Geçirme: Azure çerezlerini tarayıcıdan çalın ve bunları giriş yapmak için kullanın

• Phishing Birincil Yenileme Jetonu: PRT'yi avlamak ve kötüye kullanmak

• PRT Geçirme: Cihaz PRT'sini çalın ve onu taklit ederek Azure'a erişin.

• Sertifika Geçirme: PRT'ye dayalı bir sertifika oluşturarak bir makineden diğerine giriş yapın

AD'yi kompromize etmekten Bulut'u kompromize etmeye ve Bulut'u kompromize etmekten AD'yi kompromize etmeye:

• Azure AD Connect

• Buluttan On-Prem'e geçmek için başka bir yol Intune'yi kötüye kullanmak

Roadtx

Bu araç, bir makineyi Azure AD'ye kaydetmek için kullanılabilir ve PRT'leri (meşru veya çalıntı) farklı yollarla kaynaklara erişmek için kullanabilir. Bunlar doğrudan saldırılar değildir, ancak PRT'leri farklı yollarla kaynaklara erişimi kolaylaştırır. Daha fazla bilgi için https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/ adresini ziyaret edin.

Referanslar

• https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/