Az - PTA - Pass-through Authentication
Основна інформація
З документації: Прохідна аутентифікація Azure Active Directory (Azure AD) дозволяє вашим користувачам увійти в обидві локальні та хмарні застосунки, використовуючи однакові паролі. Ця функція надає вашим користувачам кращий досвід - на один пароль менше для запам'ятовування, і зменшує витрати на ІТ-службу підтримки, оскільки ваші користувачі менше ймовірно забудуть, як увійти. Коли користувачі увійшли за допомогою Azure AD, ця функція перевіряє паролі користувачів безпосередньо в вашому локальному Active Directory.
У PTA ідентифікатори синхронізовані, але паролі ні, як у PHS.
Аутентифікація перевіряється в локальному AD, а спілкування з хмарою здійснюється за допомогою аутентифікаційного агента, який працює на сервері локальної мережі (він не обов'язково повинен бути на локальному DC).
Потік аутентифікації
Для входу користувач перенаправляється в Azure AD, де він відправляє ім'я користувача та пароль
Облікові дані шифруються та встановлюються в чергу в Azure AD
Аутентифікаційний агент локальної мережі збирає облікові дані з черги та розшифровує їх. Цей агент називається "Агент проходження аутентифікації" або агент PTA.
Агент перевіряє облікові дані проти локального AD та надсилає відповідь назад в Azure AD, яка, якщо відповідь позитивна, завершує вхід користувача.
Якщо зловмисник зламує PTA, він може побачити всі облікові дані з черги (у чистому тексті). Він також може перевірити будь-які облікові дані в AzureAD (схожий атакі на Skeleton key).
Локальна мережа -> хмара
Якщо у вас є адміністративний доступ до сервера Azure AD Connect з агентом PTA, ви можете використовувати модуль AADInternals для вставлення завороту, який буде перевіряти ВСІ паролі, введені (таким чином, всі паролі будуть дійсними для аутентифікації):
Якщо встановлення не вдалося, це, ймовірно, через відсутність Microsoft Visual C++ 2015 Redistributables.
Також можна побачити паролі у відкритому тексті, відправлені агенту PTA, використовуючи наступну команду на машині, де було встановлено попередній задній шлюз:
Цей таємний доступ створить:
Сховану папку
C:\PTASpy
Скопіює
PTASpy.dll
доC:\PTASpy
Впроваджує
PTASpy.dll
до процесуAzureADConnectAuthenticationAgentService
Коли служба AzureADConnectAuthenticationAgent перезапускається, PTASpy "вивантажується" і його потрібно повторно встановити.
Хмара -> На місці
Після отримання привілеїв GA в хмарі, можливо зареєструвати новий агент PTA, встановивши його на керованій атакуючим машині. Як тільки агент налаштований, ми можемо повторити попередні кроки для аутентифікації за допомогою будь-якого пароля і також отримати паролі у відкритому вигляді.
Плавний SSO
Можливо використовувати Плавний SSO з PTA, що є вразливим для інших зловживань. Перевірте це в:
pageAz - Seamless SSOПосилання
Last updated