SlideShare une entreprise Scribd logo

Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD

Identity Days
Identity Days

Une conférence proposée par Clément Notin Mon Azure AD est-il à risque si mon Active Directory est piraté ? Ou l’inverse ? De nombreuses organisations ont désormais un environnement d’identité hybride avec leur annuaire Active Directory historique, on-prem, et plus récemment Azure AD, dans le cloud. Les attaquants connaissent et savent exploiter plusieurs failles pour compromettre Active Directory (intrusion initiale, latéralisation, élévation de privilèges, persistance…), idem côté Azure AD. Mais quid de l’isolation de ces environnements ? Un attaquant peut-il rebondir de l’un vers l’autre ? Le piratage de SolarWinds en 2020 a confirmé que cela était possible de plusieurs manières. Dans cette session, nous verrons : – un éventail des techniques permettant à un attaquant de rebondir vers Azure AD depuis un Active Directory compromis – mais aussi l’inverse ! – des démonstrations de plusieurs de ces techniques avec des outils de piratage publics – et bien sûr des recommandations pour s’en prémunir

Technologie
1  sur  37
Télécharger pour lire hors ligne
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD Entra ID Clément Notin 24 octobre 2023 - PARIS Identity Days 2023
Clément Notin Staff Research Engineer 😈 Chercheur, ex-pentester 🔍 Spécialiste de la sécurité des identités, en particulier sur Active Directory et Entra ID • Introduction • Comment rebondir de l’AD on-prem à Entra ID (EID) ? • Compte hybride avec privilèges dans EID • AD FS et Golden SAML • Abus d’Entra Connect • Et vice-versa : rebondir d’Entra ID à l’AD on-prem ? • Compte hybride avec privilèges dans AD • Abus d’Intune • Prise de contrôle d’une souscription Azure contenant un DC • Conclusion AGENDA DE LA CONFÉRENCE 24 octobre 2023 - PARIS Identity Days 2023 Clément Notin @cnotin https://clement.notin.org @cnotin@infosec.exchange
Introduction Identity Days 2023 24 octobre 2023 - PARIS
Introduction Identity Days 2023 24 octobre 2023 - PARIS 👴 Azure AD / AAD ➡ Entra ID / (M)EID 󰬬 Pour chaque démo, on considère que l’environnement de départ est compromis : • AD : Domain Admins • EID : Global Administrator 🗞 Aucune attaque inédite : mais des méthodes qui marchent toujours et qui ont fait leurs preuves (ex. Solorigate-Sunburst-SolarWinds) ⚖ Ces techniques d’attaque sont illégales en dehors d’une autorisation de la cible : ne pas répéter en dehors de votre propre environnement
Attaques AD ➡ Entra ID Identity Days 2023 24 octobre 2023 - PARIS
Compte hybride avec privilèges dans Entra ID Identity Days 2023 💪 Prise de contrôle du compte côté AD • [démo] Reset du mdp dans AD qui sera poussé dans EID par Password Hash Sync (PHS) • Ou vol du Primary Refresh Token (PRT) sur le poste de l’utilisateur 󰳏 Utilisation pour s’authentifier à Entra ID 🥳 Profiter des privilèges du compte côté Entra ID ! 24 octobre 2023 - PARIS Prérequis : compte avec privilèges dans Entra ID qui est synchronisé avec AD (compte hybride)
Identity Days 2023 24 octobre 2023 - PARIS Démo !
Identity Days 2023 24 octobre 2023 - PARIS https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/protecting-microsoft-365-from-on-premises-attacks/ba-p/1751754 Compte hybride avec privilèges dans Entra ID
Compte hybride avec privilèges dans Entra ID Identity Days 2023 24 octobre 2023 - PARIS https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad
Compte hybride avec privilèges dans Entra ID Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques • Password Hash Sync (PHS) n’est pas le problème ici ➡ Recommandations • Utiliser des comptes d’administration Entra dédiés et cloud-only (càd non-hybrides) • Pour protéger ces comptes : • MFA (Conditional Access Policies) • password-less • n’utiliser que sur des Privileged/Secure Access Workstations (PAW/SAW) gérées depuis le cloud (pas jointes à l’AD) • Scanner les comptes hybrides avec des rôles privilégiés dans Entra ID • Attribuer des rôles Entra moins privilégiés (principe du moindre privilège)
AD FS et Golden SAML Identity Days 2023 24 octobre 2023 - PARIS Prérequis : authentification côté Entra ID fédérée avec AD FS on-prem 💪 Vol de la clé de signature AD FS • [démo] Prise de contrôle du serveur AD FS • Ou à distance ayant l’empreinte/mot de passe du compte de service AD FS 󰳏 Forgeage d'un jeton SAML “Golden SAML” • Signé avec la clé AD FS volée • Usurpant un utilisateur Entra privilégié 🥳 Présentation du jeton SAML forgé à Entra ID qui l'accepte et connecte avec ce compte privilégié !
Identity Days 2023 24 octobre 2023 - PARIS Démo !
AD FS et Golden SAML Identity Days 2023 24 octobre 2023 - PARIS https://www.microsoft.com/en-us/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinate-protection-against-solorigate/
Identity Days 2023 24 octobre 2023 - PARIS https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/protecting-microsoft-365-from-on-premises-attacks/ba-p/1751754 AD FS et Golden SAML
AD FS et Golden SAML Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques • Technique qui date de 2017, très similaire au Golden Ticket côté AD • Méthode sans perturbation car aucune réinitialisation de mot de passe • Permet de contourner le MFA • Permet d’attaquer aussi les comptes cloud-only • Peut aussi être exploité comme backdoor de persistance (Vous n’avez pas de domaine fédéré dont l’attaquant pourrait voler la clé ? Il va vous en créer un !) ➡ Recommandations • Considérer le serveur AD FS comme Tier 0 et le protéger comme un contrôleur de domaine https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs • Envisager de protéger les clés dans un HSM (Hardware Security Module) • Si possible, arrêter de fédérer Entra ID avec AD FS et retirer le domaine fédéré obsolète • Enumérer les domaines fédérés et déminer les éventuelles backdoors
Abus d’Entra Connect Identity Days 2023 24 octobre 2023 - PARIS Prérequis : Entra Connect (ex-Azure AD Connect) activé 💪 Vol du compte de service utilisé côté Entra ID pour la synchro Entra Connect • [démo] Prise de contrôle du serveur qui héberge Entra Connect 󰳏 Utilisation du compte auprès d'Entra ID et bénéficier des privilèges du rôle “Directory Synchronization Accounts” 🥳 Profiter des privilèges du compte côté Entra ID ! • [démo] Reset du mot de passe d'un compte Entra privilégié • Prise de contrôle d'un Service Principal avec des permissions sensibles
Identity Days 2023 24 octobre 2023 - PARIS Démo !
Abus d’Entra Connect Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques • L’autre compte de service Entra Connect, utilisé côté AD, est aussi une cible intéressante de par ses privilèges (DCSync, écriture d’attributs, reset de mot de passe…) • Limité aux comptes hybrides • Empêché par le MFA… mais la variante par la prise de contrôle d’un Service Principal ne l’est pas ! • Seulement si Password Hash Sync. (PHS) est activé… mais l’attaquant peut l’activer si besoin ! ➡ Recommandations • Considérer le serveur Entra Connect comme Tier 0 et le protéger comme un contrôleur de domaine https://learn.microsoft.com/en-us/azure/active-directory/hybrid/connect/how-to-connect-install-prerequisites#harden-your -microsoft-entra-connect-server • Attention aussi à ses sauvegardes qui contiennent le mot de passe du compte • Scanner les comptes qui ont le rôle “Directory Synchronization Accounts” illégitimement
Attaques Entra ID ➡ AD Identity Days 2023 24 octobre 2023 - PARIS
Compte hybride avec privilèges dans AD Identity Days 2023 24 octobre 2023 - PARIS Prérequis : compte avec privilèges dans AD qui est synchronisé avec Entra ID (compte hybride) 💪 Prise de contrôle du compte côté Entra ID • [démo] Reset du mot de passe côté EID qui va être poussé côté AD par “Password Writeback” 󰳏 Utilisation pour s’authentifier à Active Directory 🥳 Profiter des privilèges du compte côté AD !
Identity Days 2023 24 octobre 2023 - PARIS Démo !
Compte hybride avec privilèges dans AD Identity Days 2023 24 octobre 2023 - PARIS Option vue côté Entra Connect et vue côté Entra ID
Compte hybride avec privilèges dans AD Identity Days 2023 24 octobre 2023 - PARIS https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad
Compte hybride avec privilèges dans AD Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques • Password writeback est souvent activé avec le Self-Service Password Reset (SSPR) • Ne fonctionne pas contre les « vrais » comptes privilégiés dans l’AD (adminCount = 1) depuis 2017 ➡ Recommandations • Utiliser des comptes d’administration AD dédiés et non synchronisés dans le cloud (non-hybrides) • Ne pas désactiver le paramètre par défaut de Entra Connect qui exclut ces comptes de la synchro • Scanner les comptes hybrides avec privilèges dans l’AD
Abus d’Intune Identity Days 2023 24 octobre 2023 - PARIS Prérequis : Intune (ou autre MDM) déployé et couvrant un poste d’administrateur AD 💪 Prise de contrôle dans Entra d’un compte administrateur Intune 󰳏 Déploiement d'un script sur un poste d'administrateur AD • [démo] Fonctionnalité “Scripts” de Intune 🥳 Exécution de commandes sur le poste d'administrateur et avec son identité • Profiter des privilèges du compte côté AD !
Identity Days 2023 24 octobre 2023 - PARIS Démo !
Abus d’Intune Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques • Fonctionne pour Intune, ou tout autre MDM, ou n’importe quel autre agent de supervision permettant d’exécuter des commandes ➡ Recommandations • Eviter ce type de solution sur les postes d’administration (Privileged/Secure Access Workstation, PAW/SAW) ou avoir une seconde solution administrée par ces mêmes admins
Prise de contrôle d’une souscription Azure contenant un DC Identity Days 2023 24 octobre 2023 - PARIS 💪 Activation de la fonctionnalité de secours donnant accès à toutes les ressources Azure • “Access management for Azure resources” 󰳏 Ajout du rôle “Virtual Machine Contributor” à soi-même sur la souscription du DC • Ou autre rôle avec la permission 🥳 Utilisation de la fonctionnalité “Run command” pour exécuter l'élévation de privilèges dans l’AD • Ou vol de la BDD de l’AD (ntds.dit) Prérequis : compromission d'un compte Global Admin ; contrôleur de domaine (DC) hébergé dans Azure
Identity Days 2023 24 octobre 2023 - PARIS Démo !
Prise de contrôle d’une souscription Azure contenant un DC Identity Days 2023 24 octobre 2023 - PARIS
Prise de contrôle d’une souscription Azure contenant un DC Identity Days 2023 24 octobre 2023 - PARIS https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad
Prise de contrôle d’une souscription Azure contenant un DC Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques : • Vos administrateurs d’identité peuvent devenir administrateurs de l’infra ! ➡ Recommandations : • Restreindre l’usage du rôle Global Admin (une poignée de comptes bris de glace uniquement) et privilégier des rôles plus précis • Surveiller les attributions du rôle Azure “User Access Administrator” • Pourquoi pas un tenant Entra dédié pour les contrôleurs de domaine hébergés dans Azure
Conclusion Identity Days 2023 24 octobre 2023 - PARIS
Conclusion Identity Days 2023 24 octobre 2023 - PARIS 😨 Négliger son AD legacy… c’est mettre en danger son Entra ID tout neuf et vice-versa ! 👀 Cette présentation n’est pas exhaustive : attention aux autres techniques d’attaque 🛡 Un EDR ne fait pas tout face aux attaques contre les identités et les IdP/annuaires 🕸N’oubliez pas les chemins d’attaque indirects : pensez en graphes
Remerciements Identity Days 2023 24 octobre 2023 - PARIS 🙏 Tous les chercheurs ayant découvert, documenté, et aidé à corriger ou mitiger les effets des techniques d’attaque présentées : • Dr. Nestori Syynimaa, aka @DrAzureAD https://aadinternals.com/ • Dirk-jan Mollema, aka @_dirkjan https://dirkjanm.io/ • Andy Robbins, aka @_wald0 https://medium.com/@_wald0 • Fabian Bader, aka @fabian_bader https://cloudbrothers.info/ • Et de nombreux autres !
Identity Days 2023 24 octobre 2023 - PARIS Merci à vous ! Questions ? Clément Notin @cnotin https://clement.notin.org @cnotin@infosec.exchange
Identity Days 2023 24 octobre 2023 - PARIS @IdentityDays #identitydays2023

Recommandé

Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Philippe Beraud
 
Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Microsoft Technet France
 
Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Microsoft Décideurs IT
 
DeepDive - Azure AD Identity Protection
DeepDive - Azure AD Identity ProtectionDeepDive - Azure AD Identity Protection
DeepDive - Azure AD Identity ProtectionMaxime Rastello
 
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...AZUG FR
 
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello [GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello Cellenza
 
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)☁️Seyfallah Tagrerout☁ [MVP]
 

Recommandé

Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Philippe Beraud
 
Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Microsoft Technet France
 
Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Microsoft Décideurs IT
 
DeepDive - Azure AD Identity Protection
DeepDive - Azure AD Identity ProtectionDeepDive - Azure AD Identity Protection
DeepDive - Azure AD Identity ProtectionMaxime Rastello
 
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...AZUG FR
 
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello [GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello Cellenza
 
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)☁️Seyfallah Tagrerout☁ [MVP]
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ? Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ? Microsoft Technet France
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...☁️Seyfallah Tagrerout☁ [MVP]
 
MUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisonsMUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisonsmugstrasbourg
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMaxime Rastello
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
MSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités AzureMSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités AzureMickaelLOPES91
 
Alphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : AdministrationAlphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : AdministrationAlphorm
 
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...Marius Zaharia
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days
 
Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout Microsoft Technet France
 
Azure Active Directory : on fait le point
Azure Active Directory : on fait le pointAzure Active Directory : on fait le point
Azure Active Directory : on fait le pointMaxime Rastello
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days
 
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Benoit Mortier
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...aOS Community
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm
 
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASMaOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASMMaxime Rastello
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 

Contenu connexe

Similaire à Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD

Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ? Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ? Microsoft Technet France
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...☁️Seyfallah Tagrerout☁ [MVP]
 
MUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisonsMUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisonsmugstrasbourg
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMaxime Rastello
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
MSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités AzureMSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités AzureMickaelLOPES91
 
Alphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : AdministrationAlphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : AdministrationAlphorm
 
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...Marius Zaharia
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days
 
Azure Active Directory : on fait le point
Azure Active Directory : on fait le pointAzure Active Directory : on fait le point
Azure Active Directory : on fait le pointMaxime Rastello
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days
 
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Benoit Mortier
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...aOS Community
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm
 
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASMaOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASMMaxime Rastello
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 

Similaire à Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD (20)

Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ? Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
 
MUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisonsMUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisons
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
MSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités AzureMSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités Azure
 
Alphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : AdministrationAlphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : Administration
 
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
 
Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout
 
Azure Active Directory : on fait le point
Azure Active Directory : on fait le pointAzure Active Directory : on fait le point
Azure Active Directory : on fait le point
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
 
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
 
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASMaOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 

Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD

  • 1. Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD Entra ID Clément Notin 24 octobre 2023 - PARIS Identity Days 2023
  • 2. Clément Notin Staff Research Engineer 😈 Chercheur, ex-pentester 🔍 Spécialiste de la sécurité des identités, en particulier sur Active Directory et Entra ID • Introduction • Comment rebondir de l’AD on-prem à Entra ID (EID) ? • Compte hybride avec privilèges dans EID • AD FS et Golden SAML • Abus d’Entra Connect • Et vice-versa : rebondir d’Entra ID à l’AD on-prem ? • Compte hybride avec privilèges dans AD • Abus d’Intune • Prise de contrôle d’une souscription Azure contenant un DC • Conclusion AGENDA DE LA CONFÉRENCE 24 octobre 2023 - PARIS Identity Days 2023 Clément Notin @cnotin https://clement.notin.org @cnotin@infosec.exchange
  • 3. Introduction Identity Days 2023 24 octobre 2023 - PARIS
  • 4. Introduction Identity Days 2023 24 octobre 2023 - PARIS 👴 Azure AD / AAD ➡ Entra ID / (M)EID 󰬬 Pour chaque démo, on considère que l’environnement de départ est compromis : • AD : Domain Admins • EID : Global Administrator 🗞 Aucune attaque inédite : mais des méthodes qui marchent toujours et qui ont fait leurs preuves (ex. Solorigate-Sunburst-SolarWinds) ⚖ Ces techniques d’attaque sont illégales en dehors d’une autorisation de la cible : ne pas répéter en dehors de votre propre environnement
  • 5. Attaques AD ➡ Entra ID Identity Days 2023 24 octobre 2023 - PARIS
  • 6. Compte hybride avec privilèges dans Entra ID Identity Days 2023 💪 Prise de contrôle du compte côté AD • [démo] Reset du mdp dans AD qui sera poussé dans EID par Password Hash Sync (PHS) • Ou vol du Primary Refresh Token (PRT) sur le poste de l’utilisateur 󰳏 Utilisation pour s’authentifier à Entra ID 🥳 Profiter des privilèges du compte côté Entra ID ! 24 octobre 2023 - PARIS Prérequis : compte avec privilèges dans Entra ID qui est synchronisé avec AD (compte hybride)
  • 7. Identity Days 2023 24 octobre 2023 - PARIS Démo !
  • 8. Identity Days 2023 24 octobre 2023 - PARIS https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/protecting-microsoft-365-from-on-premises-attacks/ba-p/1751754 Compte hybride avec privilèges dans Entra ID
  • 9. Compte hybride avec privilèges dans Entra ID Identity Days 2023 24 octobre 2023 - PARIS https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad
  • 10. Compte hybride avec privilèges dans Entra ID Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques • Password Hash Sync (PHS) n’est pas le problème ici ➡ Recommandations • Utiliser des comptes d’administration Entra dédiés et cloud-only (càd non-hybrides) • Pour protéger ces comptes : • MFA (Conditional Access Policies) • password-less • n’utiliser que sur des Privileged/Secure Access Workstations (PAW/SAW) gérées depuis le cloud (pas jointes à l’AD) • Scanner les comptes hybrides avec des rôles privilégiés dans Entra ID • Attribuer des rôles Entra moins privilégiés (principe du moindre privilège)
  • 11. AD FS et Golden SAML Identity Days 2023 24 octobre 2023 - PARIS Prérequis : authentification côté Entra ID fédérée avec AD FS on-prem 💪 Vol de la clé de signature AD FS • [démo] Prise de contrôle du serveur AD FS • Ou à distance ayant l’empreinte/mot de passe du compte de service AD FS 󰳏 Forgeage d'un jeton SAML “Golden SAML” • Signé avec la clé AD FS volée • Usurpant un utilisateur Entra privilégié 🥳 Présentation du jeton SAML forgé à Entra ID qui l'accepte et connecte avec ce compte privilégié !
  • 12. Identity Days 2023 24 octobre 2023 - PARIS Démo !
  • 13. AD FS et Golden SAML Identity Days 2023 24 octobre 2023 - PARIS https://www.microsoft.com/en-us/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinate-protection-against-solorigate/
  • 14. Identity Days 2023 24 octobre 2023 - PARIS https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/protecting-microsoft-365-from-on-premises-attacks/ba-p/1751754 AD FS et Golden SAML
  • 15. AD FS et Golden SAML Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques • Technique qui date de 2017, très similaire au Golden Ticket côté AD • Méthode sans perturbation car aucune réinitialisation de mot de passe • Permet de contourner le MFA • Permet d’attaquer aussi les comptes cloud-only • Peut aussi être exploité comme backdoor de persistance (Vous n’avez pas de domaine fédéré dont l’attaquant pourrait voler la clé ? Il va vous en créer un !) ➡ Recommandations • Considérer le serveur AD FS comme Tier 0 et le protéger comme un contrôleur de domaine https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs • Envisager de protéger les clés dans un HSM (Hardware Security Module) • Si possible, arrêter de fédérer Entra ID avec AD FS et retirer le domaine fédéré obsolète • Enumérer les domaines fédérés et déminer les éventuelles backdoors
  • 16. Abus d’Entra Connect Identity Days 2023 24 octobre 2023 - PARIS Prérequis : Entra Connect (ex-Azure AD Connect) activé 💪 Vol du compte de service utilisé côté Entra ID pour la synchro Entra Connect • [démo] Prise de contrôle du serveur qui héberge Entra Connect 󰳏 Utilisation du compte auprès d'Entra ID et bénéficier des privilèges du rôle “Directory Synchronization Accounts” 🥳 Profiter des privilèges du compte côté Entra ID ! • [démo] Reset du mot de passe d'un compte Entra privilégié • Prise de contrôle d'un Service Principal avec des permissions sensibles
  • 17. Identity Days 2023 24 octobre 2023 - PARIS Démo !
  • 18. Abus d’Entra Connect Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques • L’autre compte de service Entra Connect, utilisé côté AD, est aussi une cible intéressante de par ses privilèges (DCSync, écriture d’attributs, reset de mot de passe…) • Limité aux comptes hybrides • Empêché par le MFA… mais la variante par la prise de contrôle d’un Service Principal ne l’est pas ! • Seulement si Password Hash Sync. (PHS) est activé… mais l’attaquant peut l’activer si besoin ! ➡ Recommandations • Considérer le serveur Entra Connect comme Tier 0 et le protéger comme un contrôleur de domaine https://learn.microsoft.com/en-us/azure/active-directory/hybrid/connect/how-to-connect-install-prerequisites#harden-your -microsoft-entra-connect-server • Attention aussi à ses sauvegardes qui contiennent le mot de passe du compte • Scanner les comptes qui ont le rôle “Directory Synchronization Accounts” illégitimement
  • 19. Attaques Entra ID ➡ AD Identity Days 2023 24 octobre 2023 - PARIS
  • 20. Compte hybride avec privilèges dans AD Identity Days 2023 24 octobre 2023 - PARIS Prérequis : compte avec privilèges dans AD qui est synchronisé avec Entra ID (compte hybride) 💪 Prise de contrôle du compte côté Entra ID • [démo] Reset du mot de passe côté EID qui va être poussé côté AD par “Password Writeback” 󰳏 Utilisation pour s’authentifier à Active Directory 🥳 Profiter des privilèges du compte côté AD !
  • 21. Identity Days 2023 24 octobre 2023 - PARIS Démo !
  • 22. Compte hybride avec privilèges dans AD Identity Days 2023 24 octobre 2023 - PARIS Option vue côté Entra Connect et vue côté Entra ID
  • 23. Compte hybride avec privilèges dans AD Identity Days 2023 24 octobre 2023 - PARIS https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad
  • 24. Compte hybride avec privilèges dans AD Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques • Password writeback est souvent activé avec le Self-Service Password Reset (SSPR) • Ne fonctionne pas contre les « vrais » comptes privilégiés dans l’AD (adminCount = 1) depuis 2017 ➡ Recommandations • Utiliser des comptes d’administration AD dédiés et non synchronisés dans le cloud (non-hybrides) • Ne pas désactiver le paramètre par défaut de Entra Connect qui exclut ces comptes de la synchro • Scanner les comptes hybrides avec privilèges dans l’AD
  • 25. Abus d’Intune Identity Days 2023 24 octobre 2023 - PARIS Prérequis : Intune (ou autre MDM) déployé et couvrant un poste d’administrateur AD 💪 Prise de contrôle dans Entra d’un compte administrateur Intune 󰳏 Déploiement d'un script sur un poste d'administrateur AD • [démo] Fonctionnalité “Scripts” de Intune 🥳 Exécution de commandes sur le poste d'administrateur et avec son identité • Profiter des privilèges du compte côté AD !
  • 26. Identity Days 2023 24 octobre 2023 - PARIS Démo !
  • 27. Abus d’Intune Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques • Fonctionne pour Intune, ou tout autre MDM, ou n’importe quel autre agent de supervision permettant d’exécuter des commandes ➡ Recommandations • Eviter ce type de solution sur les postes d’administration (Privileged/Secure Access Workstation, PAW/SAW) ou avoir une seconde solution administrée par ces mêmes admins
  • 28. Prise de contrôle d’une souscription Azure contenant un DC Identity Days 2023 24 octobre 2023 - PARIS 💪 Activation de la fonctionnalité de secours donnant accès à toutes les ressources Azure • “Access management for Azure resources” 󰳏 Ajout du rôle “Virtual Machine Contributor” à soi-même sur la souscription du DC • Ou autre rôle avec la permission 🥳 Utilisation de la fonctionnalité “Run command” pour exécuter l'élévation de privilèges dans l’AD • Ou vol de la BDD de l’AD (ntds.dit) Prérequis : compromission d'un compte Global Admin ; contrôleur de domaine (DC) hébergé dans Azure
  • 29. Identity Days 2023 24 octobre 2023 - PARIS Démo !
  • 30. Prise de contrôle d’une souscription Azure contenant un DC Identity Days 2023 24 octobre 2023 - PARIS
  • 31. Prise de contrôle d’une souscription Azure contenant un DC Identity Days 2023 24 octobre 2023 - PARIS https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad
  • 32. Prise de contrôle d’une souscription Azure contenant un DC Identity Days 2023 24 octobre 2023 - PARIS ☝ Remarques : • Vos administrateurs d’identité peuvent devenir administrateurs de l’infra ! ➡ Recommandations : • Restreindre l’usage du rôle Global Admin (une poignée de comptes bris de glace uniquement) et privilégier des rôles plus précis • Surveiller les attributions du rôle Azure “User Access Administrator” • Pourquoi pas un tenant Entra dédié pour les contrôleurs de domaine hébergés dans Azure
  • 33. Conclusion Identity Days 2023 24 octobre 2023 - PARIS
  • 34. Conclusion Identity Days 2023 24 octobre 2023 - PARIS 😨 Négliger son AD legacy… c’est mettre en danger son Entra ID tout neuf et vice-versa ! 👀 Cette présentation n’est pas exhaustive : attention aux autres techniques d’attaque 🛡 Un EDR ne fait pas tout face aux attaques contre les identités et les IdP/annuaires 🕸N’oubliez pas les chemins d’attaque indirects : pensez en graphes
  • 35. Remerciements Identity Days 2023 24 octobre 2023 - PARIS 🙏 Tous les chercheurs ayant découvert, documenté, et aidé à corriger ou mitiger les effets des techniques d’attaque présentées : • Dr. Nestori Syynimaa, aka @DrAzureAD https://aadinternals.com/ • Dirk-jan Mollema, aka @_dirkjan https://dirkjanm.io/ • Andy Robbins, aka @_wald0 https://medium.com/@_wald0 • Fabian Bader, aka @fabian_bader https://cloudbrothers.info/ • Et de nombreux autres !
  • 36. Identity Days 2023 24 octobre 2023 - PARIS Merci à vous ! Questions ? Clément Notin @cnotin https://clement.notin.org @cnotin@infosec.exchange
  • 37. Identity Days 2023 24 octobre 2023 - PARIS @IdentityDays #identitydays2023