Az - Device Registration

Reading time: 5 minutes

Osnovne Informacije

Kada uređaj pristupi AzureAD, novi objekat se kreira u AzureAD.

Kada se registruje uređaj, korisnik se traži da se prijavi sa svojim nalogom (tražeći MFA ako je potrebno), zatim se traže tokeni za servis registracije uređaja i zatim se traži konačna potvrda.

Zatim, generišu se dva RSA para ključeva u uređaju: uređajni ključ (javni ključ) koji se šalje u AzureAD i transportni ključ (privatni ključ) koji se čuva u TPM ako je moguće.

Zatim, objekat se generiše u AzureAD (ne u Intune) i AzureAD vraća uređaju sertifikat potpisan od strane njega. Možete proveriti da li je uređaj povezan sa AzureAD i informacije o sertifikatu (kao što je da li je zaštićen TPM-om).

dsregcmd /status

Nakon registracije uređaja, Primary Refresh Token zahteva LSASS CloudAP modul i dodeljuje se uređaju. Uz PRT se takođe isporučuje ključ sesije koji je enkriptovan tako da ga samo uređaj može dekriptovati (koristeći javni ključ transportnog ključa) i neophodan je za korišćenje PRT-a.

Za više informacija o tome šta je PRT, pogledajte:

Az - Primary Refresh Token (PRT)

TPM - Trusted Platform Module

TPM štiti od ekstrakcije ključeva sa isključenog uređaja (ako je zaštićen PIN-om) i od ekstrakcije privatnog materijala iz OS sloja.
Ali ne štiti od sniffing-a fizičke veze između TPM-a i CPU-a ili korišćenja kriptografskog materijala u TPM-u dok sistem radi iz procesa sa SYSTEM pravima.

Ako pogledate sledeću stranicu, videćete da se krađa PRT-a može koristiti za pristup kao korisnik, što je odlično jer se PRT nalazi na uređajima, tako da se može ukrasti od njih (ili, ako nije ukraden, zloupotrebiti za generisanje novih ključeva za potpisivanje):

Az - Pass the PRT

Registracija uređaja sa SSO tokenima

Bilo bi moguće da napadač zatraži token za Microsoft uslugu registracije uređaja sa kompromitovanog uređaja i registruje ga:

# Initialize SSO flow
roadrecon auth prt-init
.\ROADtoken.exe <nonce>

# Request token with PRT with PRT cookie
roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>

# Custom pyhton script to register a device (check roadtx)
registerdevice.py

Koji će vam dati sertifikat koji možete koristiti za traženje PRT-ova u budućnosti. Takođe održava postojanost i obiđe MFA jer je originalni PRT token korišćen za registraciju novog uređaja već imao odobrene MFA dozvole.

Prepisivanje uređajnog tiketa

Bilo je moguće zatražiti uređajni tiket, prepisati trenutni tiket uređaja, i tokom procesa ukrasti PRT (tako da nije potrebno ukrasti ga iz TPM-a. Za više informacija proverite ovaj govor.

Prepisivanje WHFB ključa

Proverite originalne slajdove ovde

Sažetak napada:

• Moguće je prepisati registrovani WHFB ključ sa uređaja putem SSO
• To obara TPM zaštitu jer se ključ snima tokom generisanja novog ključa
• Ovo takođe obezbeđuje postojanost

Korisnici mogu modifikovati svoj vlastiti searchableDeviceKey property putem Azure AD Graph, međutim, napadač treba da ima uređaj u tenant-u (registrovan u hodu ili ukraden sertifikat + ključ sa legitimenog uređaja) i važeći pristupni token za AAD Graph.

Zatim, moguće je generisati novi ključ sa:

roadtx genhellokey -d <device id> -k tempkey.key

и онда PATCH-ујте информације о searchableDeviceKey:

Могуће је добити access token од корисника преко device code phishing и злоупотребити претходне кораке да крадете његов приступ. За више информација погледајте:

Az - Phishing Primary Refresh Token (Microsoft Entra)

References

• https://youtu.be/BduCn8cLV1A
• https://www.youtube.com/watch?v=x609c-MUZ_g
• https://www.youtube.com/watch?v=AFay_58QubY