Una nueva técnica que permite a los atacantes obtener tokens de actualización de Microsoft Entra de los puntos finales comprometidos utilizando balizas de ataque de cobalto, lo que les permite evitar la protección de la autenticación multifactor (MFA) y mantener el acceso persistente a los recursos en la nube.
La técnica, publicada el 9 de mayo, aborda escenarios en los que no es posible la extracción de token de actualización primaria tradicional (PRT), particularmente para dispositivos de unión a dominio o BYOD.
Nuevas técnicas expanden la superficie de ataque del robo de token de Azure
Esta técnica utiliza el archivo de objeto Beacon recientemente agregado (BOF) desarrollado por Christopher Pashen, llamado “get_azure_token” en el repositorio de operación remota de confianza de confianza llamado “get_azure_token”.
InfoseCnoodle informa que este BOF está aprovechando la autenticación del navegador existente del usuario para ENTRA iniciando un flujo de código de autorización para el ID y el alcance especificados del cliente, y capturando el código de acceso para capturar acceso y actualizar tokens.
Una limitación importante del enfoque original es que requiere que la ID del cliente especificada permita “http: // localhost” como el parámetro redirect_uri. Esto restringe a los atacantes de usar solo un puñado de aplicaciones de Microsoft que admiten esta configuración.
Los investigadores solo identificaron tres aplicaciones de Microsoft con la familia requerida de ID del cliente (FOCO) que admiten Microsoft Azure CLI, Microsoft Azure PowerShell y Visual Studio-Legacy.
Para superar esta limitación, los investigadores idearon una técnica mejorada mediante el uso de URI de redirigir con clientes nativos de Microsoft (https://login.microsoftonline.com/common/oauth2/nativeclient) para extraer códigos de autorización de los títulos de ventanas de navegador utilizando el API GetWindowtexTa.
“Si lo extrae de allí, puede usar el URI de redirección del cliente nativo, lo que le permite acceder a una gama de enfoque mucho más amplia y eliminar la restricción de que solo puede usar el enfoque que permite” http: // localhost “como el URI de redirección”, escribieron los investigadores.
Esta expansión amplía enormemente la superficie de ataque al permitir que las aplicaciones y técnicas populares de Microsoft, como equipos, copilotos y bordes para operar. Es menos probable que estas aplicaciones activen alertas de seguridad, lo que puede marcar una gran diferencia desde una perspectiva OPSEC.
Prueba de concepto: acción de BOF
La técnica se puede implementar utilizando comandos simples.
Esta técnica es particularmente preocupante porque todas las solicitudes de autenticación y token surgen de las direcciones IP de los puntos finales comprometidos, lo que dificulta la detección de maliciosamente.
Cuando se combina con herramientas posteriores a la explosión como GraphSpy, los atacantes pueden mantener el acceso persistente a los recursos en la nube incluso después de que se pierda el acceso inicial.
Los investigadores reconocen que esto se debe principalmente a “escenarios de casos de borde” y que la extracción de PRT sigue siendo un método más confiable para la persistencia de identidad cuando es posible, pero esta técnica ofrece una opción adicional para los atacantes cuando los métodos tradicionales fallan.
Se alienta a las organizaciones a implementar un monitoreo integral que incluya actividades de autenticación sospechosas, particularmente aplicaciones de Microsoft sensibles y acceso a la API de Graph.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
