Azure Cloud ペンテスト入門（仮）

Transcript

1. Azure Cloud ペンテスト入門 （仮） Fire (@fire_fire_2) OffsecLab MeetUp - 2024/09/07

2. はじめに • ペネトレーションテストの勉強してますよね。 • Windows ADのペネトレーションテストの勉強してますよね。 • Cloudのペネトレーションテストの勉強してますか？ • Azureのペネトレーションテストの勉強してますか？

   • EntraIDのペネトレーションテストの勉強してますか？ • え、してないんですか？（煽 2

3. はじめに • 昨今のインフラ情勢の移り変わりは以下のように目覚ましく変化してます。 • オンプレサーバやIaaS形のクラウドサーバは、 クラウドネイティブなPaaS型やFaaS型へ • 従業員向け端末の管理は、 ADに代わってEntraIDやその両方を同期させるハイブリッド型へ •

   ペンテスターもそのような変化に追従して日々新しく採用される技術ス タックへのペネトレーションテスト能力の研鑽が望まれる時代です。 • もっといえば、ペネトレーションテストの考え方を抽象化してプラット フォームによらずテストできる能力を身につけられるとベストですよね。 3

4. はじめに Q.どうやってペネトレって勉強するの？ A. トレーニングの受講 教育のスペシャリストが時間をかけて形式化した知識や手法をひとまずまるまる頭 にインプットするのが初めは非常に効率がよいです。 みなさんの大好きなOffsecやSANSの話です。 Ｑ. Azureのペンテストに関連したトレーニングはあるの？ Ａ.

   Altered Security社が提供する、 「Attacking and Defending Azure Cloud Lab」がおすすめです！ https://www.alteredsecurity.com/azureadlab 4

5. はじめに • この発表では、さすがに無視できないほど浸透している、AzureCloudや EntraIDを含むAzure環境へのペネトレーションテストについて以下のこ とをメインで話したいと思います。 • トレーニングの話 • Azure・EntraIDの侵害の話 •

   ツールの話 • 検証環境の話 • ADとEntraIDのハイブリッド環境の話 5

6. About me • Fire / ふぁいあー (@fire_fire_2) • 自己紹介 •

   OSCP (2022.1取得) / OSEP (2023.4取得) / CARTP / CRTP / CRTE / GCPN / AWS SCS / RISS • 現役ペンテスター • CARTE受講中 • お仕事 • セキュリティ界隈 およそ5.5年 (社会人6年目) • フォレンジック 1.5年 (2019.4 – 2020.9) • ペネトレーションテスト 4年 (2020.10 - Current) • トレーニング講師 数回 6

7. Altered Security社とは • ペネトレーションテスト・レッドチームツール「Nishang」の開発者であ るNikhil Mittal氏によって設立された、ペネトレーションテストに関する トレーニングの提供を行っている会社です。ラボやブートキャンプなどの トレーニングを通して学んだ知識で試験を突破することで、Offsecの試験 と同様にAltered Security社から認定を受けることができます。

   7 https://www.alteredsecurity.com/

8. • オンプレAD系 • CRTP • Certified Red Team Professional •

   Attacking & Defending Active Directory Lab • CRTE • Certified Red Team Expert • Windows Red Team Lab • CRTM • Certified Red Team Master • The Global Central Bank Lab • Azure Cloud系 • CARTP • Certified Azure Red Team Professional • Attacking & Defending Azure Cloud Lab • CARTE • Certified Azure Red Team Expert • Attacking and Defending Azure – Advanced Lab など 8 Altered Security社の認定 https://www.alteredsecurity.com/certifications

9. 国内でのAltered Security社認定の立ち位置 9 情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示 第3版 https://www.meti.go.jp/policy/netsecurity/shinsatouroku/reiji3.pdf 残念ながら、いまのとこ ろAzure関連の認定は含 まれていません。

10. Attacking & Defending Azure Cloud Lab • 企業が社内インフラとして利用するようなAzureの機能、特にEntraIDの 仕組みを軸として、Azure上のリソースを侵害していくペネトレーション テスト手法を学ぶことができるコースです。

    • 座学動画＋スライド、ラボ環境＋ラボ環境攻略の動画＋ラボ環境攻略マ ニュアルが提供され、それを参考にラボ環境を侵害していきながら実践し て学ぶことできます。 • コマンドの使い方などから、基本的なペネトレの戦術（偵察、認証情報窃取、侵入、 列挙、横展開など）、特に列挙の紹介が多めになっています。 • ラボ環境の攻略では、Azure上のリソースを侵害して、各リソースのメタデータな どをフラグとして得ていくCTF形式になっています。 • トレーニングを受講し修了試験に合格すると、CARTPと呼ばれる認定が 受けれます。 10

11. Attacking & Defending Azure Cloud Lab • 価格感は以下の通りで、トレーニングと試験のバンドルになっており、ラ ボ環境へのアクセス期間で価格が変わります。Offsecと比較すると非常に 低価格で購入できます。

    11

12. CARTP試験について • トレーニングで学んだことを基本に試験環境を侵害していく実技試験です。 • 試験環境が与えられて24時間でその環境を侵害していきます。 • 次の24時間で侵害手順や侵害手法にたいする対策・緩和策をまとめたレポートを 英語で作成し提出します。 • いわゆるOSCP形式の試験です。

    • OSCPなどのOffsec試験と似ていますが、以下の点が異なります。 • Webカメラやデスクトップのモニタリングがなく監督されません！ • 試験日程をスケジュールする必要がなく、好きな時に始められます。 • ただし、試験受験期限が設定されているのでその期間内である必要があります。 • そのため、非常に受験しやすい試験だと思います。 • （いつでも受験できるので、先延ばししがちというデメリットもある。） 12

13. Azure環境への攻撃の考え方 • 通常のペネトレーションテストと一緒です！ • 特にEntra IDの認証情報を狙って侵害していきます。 13 偵察 侵入 認証情報窃取

    列挙 権限昇格 横展開

14. Entra ID とは • 以前は、AzureAD（Azure Active Directory）と呼ばれていました。 • MS社が組織向けに提供するクラウド型のIDおよびアクセス管理システム、 つまり、IdPです。

    • Azureや組織向けのMS365ではセットでテナントが作成され、サービスの認証に利 用されます。 • 他社サービスとも連携してそのサービスの認証基盤としても利用可能です。 • また、ゼロトラストソリューションの1つで、オンプレのActive Directoryのクラウド代替版みたいな位置付けです。 • 追加料金は必要ですが、Intuneで端末に組織のポリシーを適用させたりできます。 • ただし、プロトコルや仕組みはオンプレADとは全くもって違います。 14

15. Entra IDの侵害 Entra IDを侵害するための認証情報の窃取が必要です。窃取されうる認証 情報とその窃取方法は以下のようなものがあります。 • 正規IDとパスワードの組み合わせ • フィッシング攻撃で窃取 •

    パスワードスプレー攻撃で窃取 • Entra ID Connect同期サーバへの攻撃で窃取 • Primary Refresh Token（PRT) • Entra ID 参加している端末から窃取、例えばマルウェア感染などで。 • Json Web Token（JWT） • フィッシング攻撃で窃取 • 正規のID、パスワードで要求・窃取 • RCEやSSRF攻撃でマネージドID（AWSでいうIAMロール）から窃取 15 トレーニング内では JWTをよく悪用します。

16. • AzureはいくつかのAPIで構成され ており、Azure上の操作や参照は これらのAPIを通して行われます。 • これらのAPIを利用するときに認証 に使われるのがJWTです。 16 Azure環境でのJWT API

    API Azure Resource Management API (https://management.azure.com/) Microsoft Graph API (https://graph.microsoft.com/) Azure KeyVault API (https://vault.azure.net) とか

17. 17 Azure環境でのJWT API API Azure Resource Management API (https://management.azure.com/) Microsoft

    Graph API (https://graph.microsoft.com/) Azure KeyVault API (https://vault.azure.net) とか ①GraphAPIのJWT要求 （ID・PWとかPRTとか添えて） ②応答 （GraphAPI用のJWTが返る） ③GraphAPIを通してMS365にアクセス （Graph用のJWTを添えて）

18. 18 Azure環境でのJWT API API Azure Resource Management API (https://management.azure.com/) Microsoft

    Graph API (https://graph.microsoft.com/) Azure KeyVault API (https://vault.azure.net) とか ①GraphAPIのJWT要求 （専用のシークレットを添えて） ②応答 （GraphAPI用のJWTが返る） ③GraphAPIを通してMS365にアクセス （Graph用のJWTを添えて） AppServicesなど 何かしらのリソース

19. 19 JWT窃取・悪用イメージ API API Azure Resource Management API (https://management.azure.com/) Microsoft

    Graph API (https://graph.microsoft.com/) Azure KeyVault API (https://vault.azure.net) とか ②GraphAPIの JWT要求 ③応答 （GraphAPI用のJWTが返る） ⑤GraphAPIを通してMS365にアクセス （Graph用のJWTを添えて） AppServicesなど 何かしらのリソース （RCEとかの脆弱性） ①RCEで 強制的に JWTを要求 ④JWT窃取 Attacker

20. RCE可能なAppServiceからのJWTの窃取 コマンド実行可能な脆弱性がある場合は、Curlなどで以下のようにJWT要 求用のエンドポイントにアクセスすることでJWTの窃取が可能です。 • 実行コマンド例 • AppService内では、デフォルトで以下の環境変数が設定されています。 • $IDENTITY_ENDPOINT：JWT要求用のエンドポイントのURL •

    $IDENTITY_HEADER：JWT要求用のシークレット • JWTで操作したいAPIに応じてresourceのURLを変更します。 20 > curl $IDENTITY_ENDPOINT?resource=https://graph.microsoft.com/&api-version=2017-09-01 -H secret:$IDENTITY_HEADER > curl $IDENTITY_ENDPOINT?resource=https://management.azure.com/&api-version=2017-09-01 - H secret:$IDENTITY_HEADER > curl $IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01 -H secret:$IDENTITY_HEADER

21. 認証情報の悪用 以下のように窃取した認証情報を使用して手動でAzureのAPIにアクセスす ることでAzure環境の参照や操作ができます。 例）テナント内の全ユーザの列挙 21 > $graphToken = 'eyJ0eX..’ >

    $URI = 'https://graph.microsoft.com/v1.0/users' > $RequestParams = @{ Method = 'GET' Uri = $URI Headers = @{ 'Authorization' = "Bearer $graphToken" } } > (Invoke-RestMethod @RequestParams).value

22. 列挙ツール（手動） 手動で列挙するのに便利な以下のようなツールがあります。 • Az Powershell Module • Azureリソースの参照と操作 https://learn.microsoft.com/ja-jp/powershell/azure/new-azureps-module-az •

    Azure AD Powershell Module • Entra IDの参照と操作 https://learn.microsoft.com/ja-jp/powershell/module/azuread/ • Azure-cli • Azureリソースの参照と操作 https://learn.microsoft.com/ja-jp/cli/azure/ • Microsoft Graph PowerShell SDK Module • Entra IDの参照と操作 https://learn.microsoft.com/ja-jp/powershell/microsoftgraph/ 22

23. 列挙ツール（自動） 手動は大変なので以下のような自動列挙ツールがあります。 • AzureHound • Azureリソース、Entra IDをいい感じに列挙 https://github.com/BloodHoundAD/AzureHound • ROADrecon

    • 主にEntra IDをメインに列挙 https://github.com/dirkjanm/ROADtools • Stormsportter • 主にAzureリソースをメインに列挙 https://github.com/Azure/Stormspotter 23

24. Azure AD Powershell Module • 2024/03/30時点で非推奨になっており、以降、Microsoft Graph Powershell SDK Moduleの利用が推奨されています。

    • CARTPのトレーニングの内容も、比較的最近にMicrosoft Graph Powershell SDK Moduleを使うように改定されていたりします。 24

25. Microsoft Graph Powershell SDK Module • Microsoft Graph APIを通してEntra IDの参照と操作を行うことができる

    Powershell Moduleです。 • 基本的に、Azure AD Moduleと同じことができます。 • AzureAD ModuleはAAD Graph APIを使用 • Azure AD Moduleをラップして動作するようなツールは、Microsoft Graph Powershell SDK Moduleに対応していないものも多いので、しば らくは非推奨なAzure AD Moduleも必要な場合が多いです。 25

26. Microsoft Graph Powershell SDK Module デメリット：デフォルトのAPIアクセス許可の範 囲がとても狭いです。 • Moduleへの通常ログイン >

    Connect-MgGraph • デフォルトでは、ユーザ自身に権限があれど、 自身のプロファイルと基本的な組織情報しかア クセス許可がない。 • アカウントの一覧を見る、 net user /domainみたいなことができない。 26

27. Microsoft Graph Powershell SDK Module 回避策：他のModuleでログインしてMSGraphのJWTを取得して、その JWTをMicrosoft Graph Powershell SDK

    Moduleで使います。 例）Az Powershell ModuleでJWTを取得してMG Moduleで再利用 27 > Connect-AzAccount > (Get-AzAccessToken -ResourceTypeName MSGraph).Token > $graphToken = 'eyJ0eX..' > Connect-MgGraph –AccessToken ($graphToken | ConvertTo-SecureString -AsPlainText -Force)

28. Azure, Entra IDの検証環境 • ペンテスターなら攻撃を試すための検証環境が必要かと思います。 • 実はEntra IDのテナントは、※ほぼ無料で作成することができます。 • そもそもEntra

    IDの基本機能プランは無料です！ 28

29. ※ほぼ無料とは • 以前は、無料のAzureアカウントでEntra IDのテナントが作成し放題でし たが、2023年10月の変更でMicrosoft 365の組織向け有料プラン（特に Entra ID P1やP2）を持ってるアカウントからしか追加作成できなくなり ました。

    • https://learn.microsoft.com/ja-jp/entra/fundamentals/create-new-tenant • https://qiita.com/carol0226/items/3eed9674c17f73c78ba2 29

30. テナントの作成方法 現在では以下のおおよそ3つぐらいの方法で無料でEntra IDのテナントを作 成することができます。 • 方法①：新規にMSアカウントを作成して、Microsoft Azureの無料試用版 にサインアップする方法 • 方法②：組織版Microsoft

    365の無料試用版にサインアップする方法 • 方法③：Microsoft 365 E5などを契約している会社のアカウントなどで 新しいテナントを追加作成する方法 • Entra IDがP1やP2契約の場合 30

31. 方法①： Microsoft Azureの無料試用版 • Azureポータルから無料試用版にサインアップします。 https://portal.azure.com/ 31

32. 方法②：組織版Microsoft 365の無料試用版 • 製品紹介ページから無料試用版にサインアップします。 https://www.microsoft.com/ja-jp/microsoft- 365/business/compare-all-microsoft-365-business-products 32

33. 方法③：テナントの追加作成 • Azureポータルへアクセスして会社のアカウントでサインインし、 MarketplaceからEntra IDを検索し、作成をクリックします。 https://portal.azure.com/ 33

34. 方法③：テナントの追加作成 • 作成ウィザードが表示されるので、テナント名や初期ドメイン （~.onmicrosoft.com）を入力します。 ※初期ドメインは後から変更できません、独自ドメインは追加できます。 34

35. 方法③：テナントの追加作成 • CAPTCHAを入力するとテナント作成されます。 35

36. 方法③：テナントの追加作成 • 作成したテナントに切り替えます。右上のユーザのアイコンをクリックし て、「ディレクトリの切り替え」を選択すると、所属しているテナントの 一覧が表示されます。そこから、先ほど作成したテナントの「切り替え」 を選択します。 36

37. 方法③：テナントの追加作成 • テナント作成直後の、Entra IDのユーザの状態を確認すると、作成元テナ ントのユーザが外部ユーザとして存在し、このアカウントにグローバル管 理者ロールが付与さてています。 37

38. 方法③：テナントの追加作成 • 新しいユーザを作成し、そのユーザにグローバル管理者ロールを付与する ことでテナント独自の管理者ユーザを作成できます。 38

39. 方法③：テナントの追加作成 • 最後に、いま作成したグローバル管理者ロールが付与されたユーザでサイ ンインし直して、作成元テナントのユーザを削除します。 →以上の手順で、作成元テナントから完全に独立した、検証用のテナント を作成することができます。 39

40. オンプレADとEntra IDの連携 • Entra ID登場以前にオンプレADでシステムを構築している組織は、完全 にEntra IDへの移行を行うのを断念してハイブリッド環境を選択すること も多いかと思います。 • Entra

    IDにはオンプレADと連携させて、オンプレADのユーザを基に Entra IDでもユーザ認証する機能があります。 • Microsoft Entra Connect（無料） • Microsoft Entra クラウド同期（有料でEntra IDのP1かP2が必要） • このような認証連携機能は攻撃するポイントとなりえます。 https://learn.microsoft.com/ja-jp/entra/identity/hybrid/cloud- sync/what-is-cloud-sync 40

41. Microsoft Entra Connect オンプレADに参加した連携用のサーバに連携用のエージェントをインス トールして設定するだけで簡単に利用できるため、オンプレADとEntra ID を連携している企業では一番よく利用されています。 Microsoft Entra Connectでは以下の連携方法があります。

    • パスワードハッシュ同期 • 一番簡単に設定でき、エージェントの簡単設定を選択するとデフォルトでこの連携 方法が採用されます。 • パススルー認証 • フェデレーション認証 • パススルーと似ていますがこちらはADFSを使用したSAML準拠の認証連携方法で す。オンプレADをIdPとして外部公開することでEntra IDで認証連携します。 41

42. パスワードハッシュ同期 42 オンプレAD サーバ Entra Connect 同期サーバ オンプレAD参加 Entra ID参加

    認証 認証 パスワードハッシュ 同期

43. パスワードハッシュ同期の設定 • Entra IDの管理センターにサインインし、ハイブリッド管理のMicrosoft Entra ConnectからConnect同期を選択して、エージェントのダウンロー ドなど設定が可能です。 https://entra.microsoft.com/ 43

44. パスワードハッシュ同期の設定 • エージェントがダウンロードされるので、デフォルトの設定でインストー ルしていきます。 • 途中でEntra IDのグローバル管理者アカウントと、オンプレADのエン タープライズ管理者を入力する必要があります。 44

45. パスワードハッシュ同期の設定 • 同期設定が完了するとEntra IDの管理センターのConnect同期の同期状態 などが有効になります。 45

46. パスワードハッシュ同期の設定 • Entra IDのユーザ情報を確認すると、オンプレADのユーザがEntra IDに 同期されていることが確認できます。 • Entra IDのユーザはオンプレADには同期されません。 46

47. パスワードハッシュ同期環境の攻撃 47 オンプレAD サーバ Entra Connect 同期サーバ オンプレAD参加 Entra ID参加

    前提： 侵入 as 管理者 認証 Attacker ※どちらかというとオンプレAD環境の攻撃

48. パスワードハッシュ同期環境の攻撃 同期サーバ上で、AADInternalsの以下のコマンドを実行することで、サー バに保存されている同期処理用ユーザの認証情報が窃取できます。 48 > Get-AADIntSyncCredentials

49. 窃取可能な同期処理用ユーザは以下のアカウントです。 • Entra IDユーザアカウント • ユーザ名：Sync_* • Entra ID上のオンプレADと同期しているユーザのパスワードを変更可能な権限 •

    Entra IDオンリーのユーザのパスワードは変更不可 • オンプレADユーザアカウント • ユーザ名：MSOL_* • オンプレADのレプリケート権限が付与 • DCSyncでオンプレADユーザの認証情報が窃取可能 • かなりの高権限アカウントのため、 DCと同等レベルに同期サーバの保護が必要です。 パスワードハッシュ同期環境の攻撃 49

50. パスワードハッシュ同期環境の攻撃 オンプレADと同期して作成されたEntra IDユーザのパスワード変更 • AADInternalsを読み込み、sync_*の認証情報セットして以下のコマンド を実行することで変更できます。 • 高い権限が付与されたオンプレADから同期してきたユーザなどが存在す る場合に影響が考えられますが、MFAは突破できません。 •

    Entra IDオンリーユーザのパスワードは変更できません。 • https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/tshoot- connect-sync-errors#deletion-access-violation-and-password-access- violation-errors 50 > Get-AADIntUser -UserPrincipalName [email protected] | select ImmutableId > Set-AADIntUserPassword -SourceAnchor “<ImmutableId>” -Password “hogefuga1234$" -Verbose

51. パスワードハッシュ同期環境の攻撃 DCsync攻撃でオンプレADユーザの認証情報を窃取 • MSOL_*ユーザの認証情報を使用してMimikatzで以下のコマンドを実行 すると、任意のオンプレADユーザの認証情報が窃取できます。 51 # lsadump::dcsync /user:FTEST¥Administrator /domain:ad.firefire2.net

52. まとめ • 今回は、Azure Cloud ペンテスト入門ということでクラウドペンテスト の考え方やツール、検証環境、最後はほとんどオンプレADの話ですが ちょっとした攻撃方法を紹介させていただきました。 • まだまだ、ペネトレーションテストは大オンプレAD時代かとは思います が、Entra

    IDやAzure Cloudなど企業システムでの流行りのクラウドサー ビスを対象としたペネトレを実施できることがハッカー・ペンテスターと して差別化できるポイントになるかと思います。鍛錬を怠るなよ！（煽 • 余談：まとめきれていないなと感じたので、（仮）のまま発表させていた だきました。 52

53. 参考 • 試験の時に作ったチートシートをGitHubにまとめています。 • https://github.com/firefire2/Pentest-Cheatsheets/tree/main/AzureCloud- EntraID 53

54. Thank you. Any Questions? ※クラウドは、機能や仕様が突然変更されがちです。 この資料の内容は作成時点での内容です。将来にわたって保証しません。 ※この講演における発言及び資料の内容は、個人の見解を含んでいます。 それらは、所属する企業や団体を代表するものではありません。 54