Entra ID zaobilaženje koristi phantom device registraciju i PRT zloupotrebu
Howler Cell je tokom autorizovane red team operacije pokazao napadni lanac koji zaobilazi Microsoft Entra ID Conditional Access bez kompromitovanja korporativnog endpointa i bez malwarea. Početna tačka bio je jedan set važećih kredencijala, nakon čega su istraživači iskoristili Device Registration Service endpoint koji nije bio pokriven enforcement pravilima Conditional Access-a. Napadači su registrovali phantom uređaj sa Azure AD sertifikatom i privatnim ključem sa običnog Linux laptopa, bez TPM-a, stvarnog Windows uređaja ili administratorskog odobrenja. Zatim su generisali Primary Refresh Token, prijavili lažno hybrid domain membership stanje i naveli Intune da uređaj označi kao compliant, jer su prazni odgovori za BitLocker i Secure Boot tumačeni kao not applicable. U ciljanom tenant-u sa više od 16.000 korisnika istraživači su zatim došli do podataka iz enterprise aplikacija i identifikovali put ka Global Administrator privilegijama.
Conditional Access može izgledati snažno na papiru, ali njegova vrednost zavisi od toga da li su svi putevi autentifikacije i registracije uređaja stvarno u enforcement režimu. Ako se uređaj može sam prijaviti kao poveren, ako PRT može nositi kriptografske device claim-ove bez pravog hardverskog oslonca i ako Intune prazne odgovore tumači kao usklađenost, napadač ne mora da pobedi zaštitu, dovoljno je da prođe kroz rupu između servisa.
- Pregledati Entra ID Conditional Access politike i prebaciti kritična pravila iz Report-Only u enforcement režim
- Posebno proveriti pravila za device registration, device code flow, MFA pri registraciji uređaja i pristup DRS endpointima
- Ograničiti ko sme da registruje uređaje i ukinuti nepotrebno široko self-service device registration ponašanje
- Ne oslanjati se samo na self-reported compliance, već koristiti pouzdanu hardversku proveru gde je moguće
- Auditovati synced on-prem privileged naloge, posebno one koji imaju cloud privilegije kao što su Global Administrator role