當前位置:首頁 > 報告詳情

Asia-24-Chudo-Bypassing-Entra-ID-Conditional-Access-Like-APT.pdf

上傳人: 張** 編號:161310 2024-05-05 67頁 2.64MB

word格式文檔無特別注明外均可編輯修改,預覽文件經過壓縮,下載原文更清晰!
三個皮匠報告文庫所有資源均是客戶上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作商用。

相關圖表

本文詳細闡述了一種利用微軟Entra ID設備認證機制的攻擊方法,該方法通過繞過條件訪問策略,允許攻擊者在 compromised corporate device 上以任意用戶的身份獲取訪問權限。攻擊者首先獲取設備的TPM存儲的密鑰,然后利用這些密鑰偽造設備認證,進而生成PRT(主要刷新令牌),最后通過瀏覽器SSO登錄。 關鍵點如下: 1. 攻擊者通過Spear-phishing獲取Active Directory的Domain Admin權限,然后提取具有Domain Admin權限的憑據。 2. 攻擊者將憑據用于Corporate Device的Active Directory,然后Pivoting to the Cloud,嘗試使用aadadmin/qwerty1234憑據登錄。 3. 微軟Entra ID阻止了基于設備的條件訪問策略,但攻擊者可以通過特定的方法繞過這一限制。 4. 攻擊者通過偽造Device key和Transport key,以及利用未公開的API與session key進行交互,實現對Entra ID的設備認證繞過。 5. 一旦繞過設備認證,攻擊者可以生成PRT Cookie,用于獲取任意用戶的訪問權限。 6. 微軟建議組織強制實施MFA,并對同一設備上的多個賬戶登錄活動進行監控,以提高安全性。 文章還提供了一個PowerShell腳本示例,該腳本利用TPM存儲的密鑰來繞過Entra ID的條件訪問策略,并強調了監控和檢測可疑活動的重要性。
如何利用TPM存儲的密鑰繞過Entra ID的條件訪問策略? 攻擊者如何通過濫用Entra ID中的aadcloudap插件來獲取用戶的PRT Cookie? 在Entra ID條件下,如何使用Windows Hello for Business (WHfB)密鑰進行無密碼登錄?
客服
商務合作
小程序
服務號
折疊
午夜网日韩中文字幕,日韩Av中文字幕久久,亚洲中文字幕在线一区二区,最新中文字幕在线视频网站