Az - Cihaz Kaydı

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.

Temel Bilgiler

Bir cihaz AzureAD’ye katıldığında, AzureAD’de yeni bir nesne oluşturulur.

Bir cihaz kaydedilirken, kullanıcıdan hesabıyla giriş yapması istenir (gerekirse MFA talep edilir), ardından cihaz kayıt hizmeti için token’lar talep edilir ve son bir onay istemi sorulur.

Sonra, cihazda iki RSA anahtar çifti oluşturulur: cihaz anahtarı (açık anahtar) AzureAD’ye gönderilir ve taşıma anahtarı (özel anahtar) mümkünse TPM’de saklanır.

Ardından, nesne AzureAD’de (Intune’da değil) oluşturulur ve AzureAD, cihaza imzalı bir sertifika geri verir. Cihazın AzureAD’ye katıldığını ve sertifika hakkında (örneğin, TPM ile korunup korunmadığını) bilgi kontrol edebilirsiniz.

dsregcmd /status

Cihaz kaydından sonra Primary Refresh Token LSASS CloudAP modülü tarafından talep edilir ve cihaza verilir. PRT ile birlikte sadece cihazın şifreleyebileceği şekilde şifrelenmiş oturum anahtarı (taşıma anahtarının genel anahtarını kullanarak) da teslim edilir ve PRT’yi kullanmak için gereklidir.

PRT’nin ne olduğu hakkında daha fazla bilgi için kontrol edin:

Az - Primary Refresh Token (PRT)

TPM - Güvenilir Platform Modülü

TPM, kapalı bir cihazdan anahtar çıkarma ve OS katmanından özel materyali çıkarmaya karşı korur (eğer PIN ile korunuyorsa).
Ancak, TPM ile CPU arasındaki fiziksel bağlantıyı dinlemek veya sistem çalışırken SYSTEM haklarına sahip bir süreçten TPM’deki kriptografik materyali kullanmak karşısında koruma sağlamaz.

Aşağıdaki sayfayı kontrol ederseniz, PRT’yi çalmanın bir kullanıcı gibi erişim sağlamak için kullanılabileceğini göreceksiniz, bu harika çünkü PRT cihazlarda bulunur, bu nedenle onlardan çalınabilir (veya çalınmazsa yeni imza anahtarları oluşturmak için kötüye kullanılabilir):

Az - Primary Refresh Token (PRT)

SSO jetonları ile bir cihaz kaydetme

Bir saldırganın, ele geçirilmiş cihazdan Microsoft cihaz kayıt hizmeti için bir jeton talep etmesi ve kaydetmesi mümkün olacaktır:

# Initialize SSO flow
roadrecon auth prt-init
.\ROADtoken.exe <nonce>

# Request token with PRT with PRT cookie
roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>

# Custom pyhton script to register a device (check roadtx)
registerdevice.py

Hangi, gelecekte PRT’ler talep etmek için kullanabileceğiniz bir sertifika verecektir. Bu nedenle kalıcılığı sağlamakta ve MFA’yı atlamakta çünkü yeni cihazı kaydetmek için kullanılan orijinal PRT token’ı zaten MFA izinleri verilmişti.

Tip

Bu saldırıyı gerçekleştirmek için yeni cihazlar kaydetme izinlerine ihtiyacınız olacağını unutmayın. Ayrıca, bir cihaz kaydetmek, cihazın Intune’a kaydolmasına izin verileceği anlamına gelmez.

Caution

Bu saldırı Eylül 2021’de düzeltildi çünkü artık SSO token’ları kullanarak yeni cihazlar kaydedemezsiniz. Ancak, cihazları meşru bir şekilde kaydetmek hala mümkündür (gerekirse kullanıcı adı, şifre ve MFA ile). Kontrol edin: roadtx.

Bir cihaz biletini geçersiz kılma

Bir cihaz bileti talep etmek, cihazın mevcut olanını geçersiz kılmak ve akış sırasında PRT’yi çalmak mümkündü (bu nedenle TPM’den çalmaya gerek yok. Daha fazla bilgi için bu konuşmaya bakın.

Caution

Ancak, bu düzeltildi.

WHFB anahtarını geçersiz kılma

Orijinal slaytlara buradan bakın

Saldırı özeti:

• SSO aracılığıyla bir cihazdan kayıtlı WHFB anahtarını geçersiz kılmak mümkündür
• Anahtar, yeni anahtarın üretimi sırasında sniffed olduğu için TPM korumasını aşar
• Bu ayrıca kalıcılık sağlar

Kullanıcılar, Azure AD Graph aracılığıyla kendi searchableDeviceKey özelliklerini değiştirebilir, ancak saldırganın kiracıda bir cihaza (anlık olarak kaydedilmiş veya meşru bir cihazdan çalınmış sertifika + anahtar) ve AAD Graph için geçerli bir erişim token’ına sahip olması gerekir.

Sonra, yeni bir anahtar oluşturmak mümkündür:

roadtx genhellokey -d <device id> -k tempkey.key

ve ardından searchableDeviceKey’in bilgilerini PATCH yapın:

Cihaz kodu phishing ile bir kullanıcıdan erişim token’ı almak ve önceki adımları kötüye kullanarak erişimini çalmak mümkündür. Daha fazla bilgi için kontrol edin:

Az - Primary Refresh Token (PRT)

Referanslar

• https://youtu.be/BduCn8cLV1A
• https://www.youtube.com/watch?v=x609c-MUZ_g
• https://www.youtube.com/watch?v=AFay_58QubY

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.