Přednáška: Microsoft Entra ID – Attack surface

Začátkem roku 2023 jsme přešli z on-prem Active Directory do cloudové Azure Active Directory (nově Microsoft Entra ID). PROČ a JAK jsem psal v článku „Přecházíme do Azure Active Directory„.

Současný stav je takový, že z on-prem AD nám zbývá už jen jeden DC server a dva terminálové servery. Ty mám v plánu nahradit do konce roku s Windows 365 Enterprise (Cloud PC) – které máme v rámci partnerství s Microsoftem k dispozici.

Avšak, aby nedošlo k nedorozumění, cílem není kompletně se zbavit celého on-premu, ale jen Active Directory (tu nahradit za Entra ID, Intune a Defender). On-prem jsme naopak rozšířili o další tři nové fyzické servery. Stále si totiž budeme provozovat řadu služeb: Veeam Cloud Connect infrastrukturu (immutable backups), ESET infrastrukturu, FortiAnalyzer, FortiEMS, log management a další. Stále je pro nás výhodnější, když si to provozujeme sami.

Proč se věnovat Microsoft Entra ID

Z Entra ID se podle mne stane další technologie, kde budou útočníci zatápět obráncům (stejně jako u Active Directory s lateral movement), protože Entra ID je:

  • KRITICKÁ: Kompromitace Entra ID bude mít za následek ovládnutí firemních zařízení a dat.
  • ROZŠÍŘENÁ: Každý, kdo má nějakou Office/Microsoft 365 službu, má zároveň i svou Entra ID. Bez přehánění se dá říci, že (až na pár výjimek) je to každá firma.
  • KOMPLEXNÍ (SLOŽITÁ): Jedná se o stejně rozsáhlou technologii jako je původní Active Directory.
  • PODCENĚNÁ (OBRÁNCI): Není dost lidí, co by jí technicky hluboce rozuměli.

Celé prázdniny jsem proto strávil studiem a přípravou interního školení. Z mého studia vznikla tři školení:

O ně bych se s vámi rád postupně podělil. Dnes sdílím první z nich zabývající se fází „initial access“ – neboli vektory (cestami) prvotního průniku. Snad se vám bude líbit. 😊

Nechť jsou vaše sítě bezpečné.

Martin

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Diskuze k článku

Václav Kyselý

05. 10. 2023 v 14:37

Skvělá přednáška !
Naučit se to všechno musí zabrat neuvěřitelně času …

Odpovědět

Odpovědět

Martin Haller

06. 10. 2023 v 09:49

Děkuji! Stálo mě to letní prázdniny 😀.

Odpovědět

Odpovědět

Petr Bartoš

09. 10. 2023 v 11:45

díky, moc si cením obětovaných letních prázdnin, stálo to (aspoň pro mě) za to:)
a těším se na pokračování…

Odpovědět

Odpovědět

Martin Haller

09. 10. 2023 v 13:24

Děkuji 😊. Pokračování je již načasované. Druhý díl vyjde v pondělí 16.10. a poslední 6.11.

Odpovědět

Odpovědět

Pavel Otych

13. 10. 2023 v 10:06

Dobrý den, díky za super přednášku! To že vytáhnete ty tokeny z Outlooku / Onedrive takto snadno mě docela překvapuje…

Mohu se zeptat, jak máte nakonfigurované virtuálky v těch demem? Zkoušel jste to na něčem s TPM / zabezpečenou virtualizací? (čekal bych nějakou ochranu, Credential guard, šifrování přes TPM, atd…) Tak se trochu modlím, že by v jiných podmínkách takto snadlo nešlo 🙁

U toho Continuous Access Evaluation je škoda, že to funguje jen na podmínku lokace + nějaké eventy jako reset hesla atd. Takže když se ten token vytáhne z compliant zařízení a nahraje se do ne-compliant tak se to nezneplatní ihned ani tak (ok, dobře, pojede to „jen“ omezenou dobu). Když tam je conditional access podmínka na lokaci, tak se to zneplatnění s tím CAE v podstatě ihned. Ale když mám podmínky jen na compliant zařízení, tak vlastně nevím, jak se efektivně bránit… 🙁 Jedině novou conditional access podmínku s lokací aplikovat na desktopy, které stejně nikdo nikam nepřenese, to by šlo a možná stálo za zvážení.

Odpovědět

Odpovědět

Martin Haller

13. 10. 2023 v 11:05

Dobrý den, Pavle, díky za komentář. Co je mi známo, tak access tokeny a web cookies chráněné nejsou – tzn. vždy to bude jako v demu. TPM v tuhle chvíli chrání jen PRT token. Je možné, že je nějaká ochrana i pro refresh tokeny – k tomu jsem se zatím nedostal.

MS pracuje na nové funkci do CA – nejspíše jste si jí také všiml a to token protection (https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/concept-token-protection). Ta by měla dokázat chránit i refresh tokeny skrze TPM (pokud jsem to správně pochopil).

Souhlasím, že v současné době CA schází hodně funkcionality – dobré je ale vidět, že na tom MS stále pracuje.

Pokud je nějaká firma, které na bezpečí záleží, pak bych nejspíše nepovoloval BYOD. Pracovalo by se jen ze spravovaných/monitorovaných PC – tzn. snížila by se pravděpodobnost krádeže tokenů.

Odpovědět

Odpovědět

Pavel Otych

13. 10. 2023 v 13:44

Tak to jste mě nepotěšil… 🙁 Je super vidět to takto uceleně v praxi, jak to je snadné. Token Protection jsem zaznamenal, čekám zatím na podporu v prohlížeči, podívám se na to.

Díky a těším se na další díly!

Odpovědět

Odpovědět

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Hack The Box OSCP MCSE CHFI ECSA CCNP CCNA