Une conférence proposée par Clément Notin
Mon Azure AD est-il à risque si mon Active Directory est piraté ? Ou l’inverse ?
De nombreuses organisations ont désormais un environnement d’identité hybride avec leur annuaire Active Directory historique, on-prem, et plus récemment Azure AD, dans le cloud. Les attaquants connaissent et savent exploiter plusieurs failles pour compromettre Active Directory (intrusion initiale, latéralisation, élévation de privilèges, persistance…), idem côté Azure AD.
Mais quid de l’isolation de ces environnements ? Un attaquant peut-il rebondir de l’un vers l’autre ?
Le piratage de SolarWinds en 2020 a confirmé que cela était possible de plusieurs manières.
Dans cette session, nous verrons :
– un éventail des techniques permettant à un attaquant de rebondir vers Azure AD depuis un Active Directory compromis
– mais aussi l’inverse !
– des démonstrations de plusieurs de ces techniques avec des outils de piratage publics
– et bien sûr des recommandations pour s’en prémunir
CIEM, tiens une nouvelle catégorie de produits identité?
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
1. Démos d’attaques par rebond
en environnement hybride
Active Directory-Azure AD Entra ID
Clément Notin
24 octobre 2023 - PARIS
Identity Days 2023
2. Clément Notin
Staff Research Engineer
😈 Chercheur, ex-pentester
🔍 Spécialiste de la sécurité des
identités, en particulier sur
Active Directory et Entra ID
• Introduction
• Comment rebondir de l’AD on-prem à Entra ID (EID) ?
• Compte hybride avec privilèges dans EID
• AD FS et Golden SAML
• Abus d’Entra Connect
• Et vice-versa : rebondir d’Entra ID à l’AD on-prem ?
• Compte hybride avec privilèges dans AD
• Abus d’Intune
• Prise de contrôle d’une souscription Azure
contenant un DC
• Conclusion
AGENDA DE LA CONFÉRENCE
24 octobre 2023 - PARIS
Identity Days 2023
Clément Notin
@cnotin
https://clement.notin.org
@cnotin@infosec.exchange
4. Introduction
Identity Days 2023
24 octobre 2023 - PARIS
👴 Azure AD / AAD ➡ Entra ID / (M)EID
Pour chaque démo, on considère que l’environnement de départ est compromis :
• AD : Domain Admins
• EID : Global Administrator
🗞 Aucune attaque inédite : mais des méthodes qui marchent toujours et qui ont fait leurs
preuves (ex. Solorigate-Sunburst-SolarWinds)
⚖ Ces techniques d’attaque sont illégales en dehors d’une autorisation de la cible :
ne pas répéter en dehors de votre propre environnement
6. Compte hybride avec privilèges dans Entra ID
Identity Days 2023
💪 Prise de contrôle
du compte côté AD
• [démo] Reset du mdp
dans AD qui sera poussé
dans EID par Password
Hash Sync (PHS)
• Ou vol du Primary Refresh
Token (PRT) sur le poste
de l’utilisateur
Utilisation pour
s’authentifier à Entra
ID
🥳 Profiter des
privilèges du compte
côté Entra ID !
24 octobre 2023 - PARIS
Prérequis : compte avec privilèges dans Entra ID qui est synchronisé avec AD (compte hybride)
8. Identity Days 2023
24 octobre 2023 - PARIS
https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/protecting-microsoft-365-from-on-premises-attacks/ba-p/1751754
Compte hybride avec privilèges dans Entra ID
10. Compte hybride avec privilèges dans Entra ID
Identity Days 2023
24 octobre 2023 - PARIS
☝ Remarques
• Password Hash Sync (PHS) n’est pas le problème ici
➡ Recommandations
• Utiliser des comptes d’administration Entra dédiés et cloud-only (càd non-hybrides)
• Pour protéger ces comptes :
• MFA (Conditional Access Policies)
• password-less
• n’utiliser que sur des Privileged/Secure Access Workstations (PAW/SAW) gérées depuis le
cloud (pas jointes à l’AD)
• Scanner les comptes hybrides avec des rôles privilégiés dans Entra ID
• Attribuer des rôles Entra moins privilégiés (principe du moindre privilège)
11. AD FS et Golden SAML
Identity Days 2023
24 octobre 2023 - PARIS
Prérequis : authentification côté Entra ID fédérée avec AD FS on-prem
💪 Vol de la clé de
signature AD FS
• [démo] Prise de contrôle
du serveur AD FS
• Ou à distance ayant
l’empreinte/mot de passe
du compte de service AD
FS
Forgeage d'un
jeton SAML
“Golden SAML”
• Signé avec la clé AD FS
volée
• Usurpant un utilisateur
Entra privilégié
🥳 Présentation du
jeton SAML forgé à
Entra ID qui l'accepte
et connecte avec ce
compte privilégié !
13. AD FS et Golden SAML
Identity Days 2023
24 octobre 2023 - PARIS
https://www.microsoft.com/en-us/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinate-protection-against-solorigate/
14. Identity Days 2023
24 octobre 2023 - PARIS
https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/protecting-microsoft-365-from-on-premises-attacks/ba-p/1751754
AD FS et Golden SAML
15. AD FS et Golden SAML
Identity Days 2023
24 octobre 2023 - PARIS
☝ Remarques
• Technique qui date de 2017, très similaire au Golden Ticket côté AD
• Méthode sans perturbation car aucune réinitialisation de mot de passe
• Permet de contourner le MFA
• Permet d’attaquer aussi les comptes cloud-only
• Peut aussi être exploité comme backdoor de persistance (Vous n’avez pas de domaine fédéré dont
l’attaquant pourrait voler la clé ? Il va vous en créer un !)
➡ Recommandations
• Considérer le serveur AD FS comme Tier 0 et le protéger comme un contrôleur de domaine
https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs
• Envisager de protéger les clés dans un HSM (Hardware Security Module)
• Si possible, arrêter de fédérer Entra ID avec AD FS et retirer le domaine fédéré obsolète
• Enumérer les domaines fédérés et déminer les éventuelles backdoors
16. Abus d’Entra Connect
Identity Days 2023
24 octobre 2023 - PARIS
Prérequis : Entra Connect (ex-Azure AD Connect) activé
💪 Vol du compte
de service utilisé
côté Entra ID pour la
synchro Entra
Connect
• [démo] Prise de contrôle
du serveur qui héberge
Entra Connect
Utilisation du
compte auprès
d'Entra ID et
bénéficier des
privilèges du rôle
“Directory
Synchronization
Accounts”
🥳 Profiter des
privilèges du compte
côté Entra ID !
• [démo] Reset du mot de
passe d'un compte Entra
privilégié
• Prise de contrôle d'un
Service Principal avec des
permissions sensibles
18. Abus d’Entra Connect
Identity Days 2023
24 octobre 2023 - PARIS
☝ Remarques
• L’autre compte de service Entra Connect, utilisé côté AD, est aussi une cible intéressante de par ses
privilèges (DCSync, écriture d’attributs, reset de mot de passe…)
• Limité aux comptes hybrides
• Empêché par le MFA… mais la variante par la prise de contrôle d’un Service Principal ne l’est pas !
• Seulement si Password Hash Sync. (PHS) est activé… mais l’attaquant peut l’activer si besoin !
➡ Recommandations
• Considérer le serveur Entra Connect comme Tier 0 et le protéger comme un contrôleur de domaine
https://learn.microsoft.com/en-us/azure/active-directory/hybrid/connect/how-to-connect-install-prerequisites#harden-your
-microsoft-entra-connect-server
• Attention aussi à ses sauvegardes qui contiennent le mot de passe du compte
• Scanner les comptes qui ont le rôle “Directory Synchronization Accounts” illégitimement
20. Compte hybride avec privilèges dans AD
Identity Days 2023
24 octobre 2023 - PARIS
Prérequis : compte avec privilèges dans AD qui est synchronisé avec Entra ID (compte hybride)
💪 Prise de contrôle
du compte côté
Entra ID
• [démo] Reset du mot de
passe côté EID qui va être
poussé côté AD par
“Password Writeback”
Utilisation pour
s’authentifier à
Active Directory
🥳 Profiter des
privilèges du compte
côté AD !
24. Compte hybride avec privilèges dans AD
Identity Days 2023
24 octobre 2023 - PARIS
☝ Remarques
• Password writeback est souvent activé avec le Self-Service Password Reset (SSPR)
• Ne fonctionne pas contre les « vrais » comptes privilégiés dans l’AD (adminCount = 1) depuis 2017
➡ Recommandations
• Utiliser des comptes d’administration AD dédiés et non synchronisés dans le cloud (non-hybrides)
• Ne pas désactiver le paramètre par défaut de Entra Connect qui exclut ces comptes de la synchro
• Scanner les comptes hybrides avec privilèges dans l’AD
25. Abus d’Intune
Identity Days 2023
24 octobre 2023 - PARIS
Prérequis : Intune (ou autre MDM) déployé et couvrant un poste d’administrateur AD
💪 Prise de contrôle
dans Entra d’un
compte
administrateur
Intune
Déploiement
d'un script sur un
poste
d'administrateur AD
• [démo] Fonctionnalité
“Scripts” de Intune
🥳 Exécution de
commandes sur le
poste
d'administrateur et
avec son identité
• Profiter des privilèges du
compte côté AD !
27. Abus d’Intune
Identity Days 2023
24 octobre 2023 - PARIS
☝ Remarques
• Fonctionne pour Intune, ou tout autre MDM, ou n’importe quel autre agent de supervision
permettant d’exécuter des commandes
➡ Recommandations
• Eviter ce type de solution sur les postes d’administration (Privileged/Secure Access Workstation,
PAW/SAW) ou avoir une seconde solution administrée par ces mêmes admins
28. Prise de contrôle d’une souscription Azure contenant un DC
Identity Days 2023
24 octobre 2023 - PARIS
💪 Activation de la
fonctionnalité de
secours donnant
accès à toutes les
ressources Azure
• “Access management for
Azure resources”
Ajout du rôle
“Virtual Machine
Contributor” à
soi-même sur la
souscription du DC
• Ou autre rôle avec la
permission
🥳 Utilisation de la
fonctionnalité “Run
command” pour
exécuter l'élévation
de privilèges dans
l’AD
• Ou vol de la BDD de l’AD
(ntds.dit)
Prérequis : compromission d'un compte Global Admin ; contrôleur de domaine (DC) hébergé dans Azure
32. Prise de contrôle d’une souscription Azure contenant un DC
Identity Days 2023
24 octobre 2023 - PARIS
☝ Remarques :
• Vos administrateurs d’identité peuvent devenir administrateurs de l’infra !
➡ Recommandations :
• Restreindre l’usage du rôle Global Admin (une poignée de comptes bris de glace uniquement) et
privilégier des rôles plus précis
• Surveiller les attributions du rôle Azure “User Access Administrator”
• Pourquoi pas un tenant Entra dédié pour les contrôleurs de domaine hébergés dans Azure
34. Conclusion
Identity Days 2023
24 octobre 2023 - PARIS
😨 Négliger son AD legacy… c’est mettre en danger son Entra ID tout neuf
et vice-versa !
👀 Cette présentation n’est pas exhaustive : attention aux autres techniques d’attaque
🛡 Un EDR ne fait pas tout face aux attaques contre les identités et les IdP/annuaires
🕸N’oubliez pas les chemins d’attaque indirects : pensez en graphes
35. Remerciements
Identity Days 2023
24 octobre 2023 - PARIS
🙏 Tous les chercheurs ayant découvert, documenté, et aidé à corriger ou mitiger les
effets des techniques d’attaque présentées :
• Dr. Nestori Syynimaa, aka @DrAzureAD
https://aadinternals.com/
• Dirk-jan Mollema, aka @_dirkjan
https://dirkjanm.io/
• Andy Robbins, aka @_wald0
https://medium.com/@_wald0
• Fabian Bader, aka @fabian_bader
https://cloudbrothers.info/
• Et de nombreux autres !
36. Identity Days 2023
24 octobre 2023 - PARIS
Merci à vous !
Questions ?
Clément Notin
@cnotin
https://clement.notin.org
@cnotin@infosec.exchange