Bu yazı, saldırı hakkında daha fazla bilgi için kontrol edilebilecek olan https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/ adresinin özeti niteliğindedir. Bu teknik ayrıca https://www.youtube.com/watch?v=AFay_58QubY'de de yorumlanmıştır.

Temel Bilgiler

Güven

Azure AD ile bir güven ilişkisi kurulduğunda, AD'de bir Salt Okunur Etki Alanı Denetleyicisi (RODC) oluşturulur. RODC bilgisayar hesabı, AzureADKerberos$ adında olur. Ayrıca, ikincil bir krbtgt hesabı olan krbtgt_AzureAD adında bir hesap oluşturulur. Bu hesap, Azure AD'nin oluşturduğu biletler için kullanılan Kerberos anahtarlarını içerir.

Bu nedenle, bu hesap ele geçirilirse herhangi bir kullanıcıyı taklit etmek mümkün olabilir... ancak bu doğru değildir çünkü bu hesap, Erişim Denetleyicileri, Kurumsal Yöneticiler, Yöneticiler gibi yaygın ayrıcalıklı AD grubu için bilet oluşturmasını engellenmiştir...

Kerberos TGT

Ayrıca, bir kullanıcı bir hibrit kimlik kullanarak Windows üzerinde kimlik doğruladığında, Azure AD, PRT ile birlikte kısmi Kerberos bileti oluşturur. TGT, AzureAD'nin yerindeki AD hakkında sınırlı bilgiye sahip olduğu için kısmidir (güvenlik tanımlayıcısı (SID) ve ad gibi). Windows, bu kısmi TGT'yi, krbtgt hizmeti için bir hizmet biletiği isteyerek tam bir TGT ile değiştirebilir.

NTLM

Kerberos kimlik doğrulamasını desteklemeyen hizmetler olabileceğinden, istekte KERB-KEY-LIST-REQ alanını içeren ikincil bir krbtgt anahtarıyla imzalanmış kısmi bir TGT talep etmek ve ardından yanıtta NT karma değerini içeren bir tam TGT almak mümkündür.

Bulut Kerberos Güvenini Kötüye Kullanarak Etki Alanı Yöneticisi Elde Etme

AzureAD, kısmi bir TGT oluşturduğunda, kullanıcı hakkında sahip olduğu ayrıntıları kullanır. Bu nedenle, bir Global Yönetici, AzureAD'deki kullanıcının güvenlik tanımlayıcısını ve adını değiştirebilirse, o kullanıcı için bir TGT istendiğinde güvenlik tanımlayıcısı farklı olacaktır.

Bu, Microsoft Graph veya Azure AD Graph aracılığıyla yapılamaz, ancak Global Yöneticiler tarafından kullanılabilen API Active Directory Connect kullanarak senkronize edilen kullanıcıları oluşturmak ve güncellemek için kullanılabilir ve bu şekilde kimlik doğrulama yaparsak, değiştirilmiş SID içeren bir kısmi TGT alırız.

AADInternals ile bunu yapabilir ve senkronize edilen kullanıcıları Set-AADIntAzureADObject cmdlet'i aracılığıyla güncelleyebiliriz.

Saldırı önkoşulları

Saldırının başarısı ve Etki Alanı Yöneticisi ayrıcalıklarının elde edilmesi, belirli önkoşulların karşılanmasına bağlıdır:

• Hesapları Synchronization API aracılığıyla değiştirebilme yeteneği önemlidir. Bu, Global Yönetici rolüne sahip olmak veya bir AD Connect senkronizasyon hesabına sahip olmakla elde edilebilir. Alternatif olarak, Hibrit Kimlik Yöneticisi rolü yeterli olacaktır, çünkü AD Connect'i yönetme ve yeni senkronizasyon hesapları oluşturma yeteneği sağlar.

• Bir hibrit hesabın varlığı önemlidir. Bu hesap, kurban hesabının ayrıntılarıyla değiştirilebilir olmalı ve kimlik doğrulaması için erişilebilir olmalıdır.

• Active Directory içinde bir hedef kurban hesabının belirlenmesi gerekmektedir. Saldırı herhangi bir senkronize edilmiş hesap üzerinde gerçekleştirilebilir olsa da, Azure AD kiracının yerindeki güvenlik tanımlayıcılarının çoğaltılmaması gerektiğinden senkronize edilmemiş bir hesabın değiştirilmesi gerekmektedir.

• Ayrıca, bu hesap, etkisiz TGT'lerin AzureAD RODC tarafından oluşturulmasını önlemek için tipik AD yönetici gruplarının üyesi olmamalıdır, ancak etki alanı yöneticisi eşdeğer ayrıcalıklara sahip olmalıdır.

• En uygun hedef, AD Connect Sync hizmeti tarafından kullanılan Active Directory hesabıdır. Bu hesap Azure AD ile senkronize edilmez, bu nedenle SID'si hedeflenebilir durumdadır ve şifre karma değerlerini senkronize etme rolü nedeniyle doğal olarak Etki Alanı Yöneticisi eşdeğer ayrıcalıklara sahiptir (Şifre Karma Senkronizasyonu etkinse). Express kurulumlu alanlar için bu hesap MSOL_ ile başlar. Diğer durumlar için, etki alanı nesnesindeki Veri Çoğaltma ayrıcalıklar