Entra ID Lateral Movement And Expanding Permission Usage

Abusing Intimate Permissions for Lateral Movement and Privilege Escalation in Entra ID Native Environments: (In)tune to Takeovers

Recently, a client received assistance from the Mandiant Red Team in visualizing the potential consequences of an advanced threat actor breach. In order to compromise the tenant’s installed Entra ID service principals, Mandiant migrated laterally from the customer’s on-premises environment to their Microsoft Entra ID tenant during the evaluation.

Using a popular security architecture that involves Intune-managed Privileged Access Workstations (PAWs), we will discuss in this blog post a new method by which adversaries can move laterally and elevate privileges within Microsoft Entra ID by abusing Intune permissions (DeviceManagementConfiguration.ReadWrite.All) granted to Entra ID service principals. We also offer suggestions and corrective actions to stop and identify this kind of attack.

A pretext

The client had a well-developed security architecture that adhered to the Enterprise Access model suggested by Microsoft, which included:

An Active Directory-based on-premises setting that adheres to the Tiered Model.

A Microsoft Entra Connect Sync-synchronized Entra ID environment that synchronizes on-premises identities and groups with Entra ID. PAWs, which were completely cloud-native and controlled by Intune Mobile Device Management (MDM), were used to administrate this environment. They were not connected to the on-premises Active Directory system. To access these systems, IT managers used a specific, cloud-native (non-synced) administrative account. These cloud-native administrative accounts were the only ones allocated Entra ID roles (Global Administrator, Privileged Role Administrator, etc.).

A robust security barrier was created by separating administrative accounts, devices, and privileges between the Entra ID environment and the on-premises environment:

Because Entra ID privileged roles are associated with unique, cloud-native identities, a compromise of the on-premises Active Directory cannot be utilized to compromise the Entra ID environment. This is an excellent practice for Microsoft.

An “air gap” between the administration planes of the two environments is successfully created by using distinct physical workstations for administrative access to cloud and on-premises resources. Attackers find it very challenging to get through air gaps.

Strong Conditional Access regulations imposed by Privileged Identity Management assigned roles to the administrative accounts in Entra ID, necessitating multi-factor authentication and a managed, compliant device. Additionally, Microsoft recommends these best practices.

Attack Path

One of the objectives of the evaluation was to assign the Mandiant Red Team the task of obtaining Global Administrator access to the Entra ID tenant. Mandiant was able to add credentials to Entra ID service principals (microsoft.directory/servicePrincipals/credentials/update) by using a variety of methods that are outside the purview of this blog post. This gave the Red Team the ability to compromise any preloaded service principal.

There are a number well-known methods for abusing service principal rights to get higher permissions, most notably through the usage of RoleManagement.See AppRoleAssignment and ReadWrite.Directory.Application and ReadWrite.All.ReadWrite.All rights for Microsoft Graph.

However, the Mandiant Red Team had to reconsider their approach because none of these rights were being used in the customer’s environment.

Mandiant found a service principle that was given the DeviceManagementConfiguration after using the superb ROADTools framework to learn more about the customer’s Entra ID system.Go ahead and write.Permission is granted.Image credit to Google Cloud

The service principal is able to “read and write Microsoft Intune device configuration and policies” with this authorization.

Clients running Windows 10 and later can execute the unique PowerShell scripts used by Intune for device management. Administrators have an alternative to configuring devices with settings not accessible through the configuration policies or the apps section of Intune by using the ability to run scripts on local devices. When the device boots up, management scripts with administrator rights (NT AUTHORITY\SYSTEM) are run.

The configuration of Device Management.Go ahead and write.To list, read, create, and update management scripts via the Microsoft Graph API, all permissions are required.

The Microsoft Graph API makes it simple to write or edit the management script. An example HTTP request to alter an existing script is displayed in the accompanying figure.PATCH https://graph.microsoft.com/beta/deviceManagement/ deviceManagementScripts/<script id> { "@odata.type": "#microsoft.graph.deviceManagementScript", "displayName": "<display name>", "description": "<description>", "scriptContent": "<PowerShell script in base64 encoding>", "runAsAccount": "system", "enforceSignatureCheck": false, "fileName": "<filename>", "roleScopeTagIds": [ "<existing role scope tags>" ], "runAs32Bit": false }

The caller can provide a display name, file name, and description in addition to the Base64-encoded value of the PowerShell script content using the Graph API. Depending on which principle the script should be run as, the runAsAccount parameter can be set to either user or system. RoleScopeTagIds references Intune’s Scope Tags, which associate people and devices. The DeviceManagementConfiguration can likewise be used to construct and manage them.Go ahead and write. Permission is granted.

The configuration of Device Management.Go ahead and write.By changing an existing device management script to run a PowerShell script under Mandiant’s control, Mandiant was able to go laterally to the PAWs used for Entra ID administration with full authorization. The malicious script is run by the Intune management script when the device reboots as part of the user’s regular workday.

By implanting a command-and-control device, Mandiant could give the PAWs any instructions. The Red Team obtained privileged access to Entra ID by waiting for the victim to activate their privileged role through Azure Privileged Identity Management and then impersonating the privileged account (for example, by stealing cookies or tokens). By taking these actions, Mandiant was able to fulfill the assessment’s goal and gain Global Administrator rights in Entra ID.

Remediation and Recommendations

To avoid the attack scenario, Mandiant suggests the following hardening measures:

Review your organization’s security principals for the DeviceManagementConfiguration.ReadWrite.All permission:  DeviceManagementConfiguration should be handled by organizations that use Microsoft Intune for device management.Go ahead and write.Since it grants the trustee authority over the Intune-managed devices and, consequently, any identities connected to the devices, all permissions are considered sensitive.

Mandiant advises businesses to routinely check the authorizations given to Azure service principals, with a focus on the DeviceManagementConfiguration.Along with other sensitive permissions (like RoleManagement), there is the ReadWrite.All permission.See AppRoleAssignment and ReadWrite.Directory.Application and ReadWrite.All.ReadWrite.All.

Businesses that manage PAWs with Intune should exercise extra caution when assigning Intune privileges (either via DeviceManagementConfiguration).Use Entra roles like Intune Role Administrator or ReadWrite.All.

Enable Intune’s multiple admin approval: Intune allows you to use Access Policies to demand a second administrator’s approval before applying any changes. By doing this, an attacker would be unable to use a single compromised account to create or alter management scripts.

Think about turning on activity logs for the Microsoft Graph API: Graph API Activity logs, which provide comprehensive details about Graph API HTTP requests made to Microsoft Graph resources, can be enabled to aid in detection and response efforts.

Make use of the features that Workload ID Premium licenses offer: With a Workload-ID Premium license, Mandiant suggests using these features to:

Limit the use of privileged service principals to known, reliable places only. By guaranteeing that only trustworthy places are used, this reduces the possibility of unwanted access and improves security.

Enable risk detections in Microsoft Identity Protection to improve service principal security. When risk factors or questionable activity are found, this can proactively prohibit access.

Keep an eye on service principal sign-ins proactively: Monitoring service principal sign-ins proactively can aid in identifying irregularities and possible dangers. Incorporate this information into security procedures to set off notifications and facilitate quick action in the event of unwanted access attempts.

Mandiant has a thorough grasp of the various ways attackers may compromise their target’s cloud estate with some hostile emulation engagements, Red Team Assessments, and Purple Team Assessments.

Read more on Govindhtech.com

Dans l’Amérique des années 1930, en pleine Grande Dépression, les sacs contenant la farine et les céréales étaient fabriqués en toile de coton.

C’est alors que l’entreprise Kansas Wheat fit une découverte touchante : les familles les plus modestes, frappées par la misère, recyclaient ces toiles pour en faire des robes pour femmes et fillettes. Sensible à cette ingéniosité née du besoin, la compagnie décida d’imprimer ses sacs de motifs floraux et colorés, pour les rendre plus attrayants.

L’initiative connut un immense succès. L’encre utilisée pour les logos était conçue pour disparaître dès le premier lavage, et certains sacs étaient même préimprimés de patrons prêts à être découpés et cousus.

Ce geste, à la fois simple et visionnaire, fut bien plus qu’une stratégie marketing : il redonna dignité et espoir à de nombreuses familles américaines. Il permit aussi à des femmes, talentueuses et résilientes, de transformer la nécessité en art, revendant ces vêtements faits main, reflets d’un courage silencieux au cœur de l’adversité.

source : @cheminer-poesie-cressant

petite poésie de la nature

La lande, révélation du solidaire, végétation serrée qui s'entraide, force sans faille contre un vent tempétueux. Là-bas dans un creux comme un recueillement qui permet la vie, l'arbuste a trouvé refuge, simple beauté de tous les possibles. A méditer sans retenue.

.

(Dans la portée des ombres, extrait)

© Pierre Cressant

(lundi 31 octobre 2005)

Entraide graphique ✧

Bonjour à tous ! Je voulais faire un petit post rapide pour demander si certains ici connaissent un forum (ou autre ?) d'entraide graphique ?

J'aimerais progresser sur Photoshop, tenter de nouvelles choses, élargir un peu mon esprit et surtout me lancer des défis. J'avoue que l'inspiration va et vient ces derniers temps. J'ai du mal à savoir sur qui ou quoi grapher, j'ai du mal à trouver des ressources, j'ai du mal à trouver de nouvelles techniques... Et surtout, j'ai tendance à me dire que faire tout ceci ne sert à rien, à part m'entrainer vaguement (ce qui n'est même pas le cas au final, vu que je fini par faire les mêmes choses inlassablement).

Donc voilà, n'hésitez pas à laisser un petit commentaire si vous connaissez un endroit cool où il est possible d'échanger et de progresser ensemble, ce serait vraiment hyper sympa. Merci encore ! :)

bientôt(-ish) sur vos écrans : la banque administrative des rpgistes, ou BAR, par la communauté pour la communauté, un service open source permettant d’alléger la charge de travail dans le cadre de construction administrative d’un forum et ainsi de se concentrer sur l’aspect créatif. parce que c’est plus possible de se tirer constamment dans les pattes et qu’on va pas réinventer la roue à chaque fois qu’on ouvre un forum, et que cette commu mérite mieux que la méfiance généralisée !  en cours: pour le moment, j’ai créé un espace sur gdrive où je suis en train de répertorier les textes administratifs nécessaires :  - réglement - formulaires (avatars, double-compte, points, absences) - vos idées (drop a comment ou hit me up par mp - les suggestions seront toutes étudiées)

next steps: - définir le processus de validation d’une contribution (sur quels critères on se base histoire de garantir une cohérence et une qualité communes à tous les textes) - définir la gouvernance sur le long terme (qui valide, qui vérifie, comment) - ouvrir le projet en alpha pour obtenir du feedback sur le bon fonctionnement afin d’affiner les processus pour ensuite ouvrir le BAR à tous.tes :) stay tuned! 

Partage de ressources

Bonsoir je vous partage les tableaux Pinterest où moi et certains membres de mon serveur le camping des rpg (cliquez pour accéder au serveur Discord) remplissons de ressources graphiques allant du simple brush aux textures les plus farfelues, en passant par les polices d'écriture et les galeries de photos HD

Le tableau se trouve ici (cliquez)

Ne vous inquiétez pas on ne fera pas un sketch sur Tumblr parce que vous avez utilisé les ressources venant de ces tableaux

Please help Canadian Army Vet after the total loss of her farm after a devastating fire

The retired soldier was raising animals and building an animal shelter.

N’Être

On peut vivre des jours, des mois, voire des années, sans chercher ce qu’il y a de mieux, ce qu’il y a de plus beau, ou de plus excitant pour nous. C’est la triste réalité des obligations que nous nous infligeons et qui font en sorte que le temps disponible disparaît. Nous pouvons donner du temps pour les autres. Toutefois, nous ne devons pas oublier que l’existence doit nous appartenir un petit…

View On WordPress

Appel aux créateur-ices

Hello ! Je suis à la recherche d'âmes charitables et inspirées par Chad Michael Murray. J'aimerais beaucoup des avatars 400*640 avec sa bouille. Pour ça, voici une galerie de photos d'un shooting très récent : https://imgbox.com/g/otu6QxpP1h Mon personnage, Aédan O'Sullivan a la double nationalité Irlando-Américaine. Il est un sorcier de l'éther, doublé d'un vampire. Race appelée Altéré sur le forum Crescent City. C'est un homme bon, qui lutte contre sa soif de sang et le côté vampire qui tente parfois de prendre le dessus. Il est père de famille, en couple. Ancien flic, il est maintenant agent de probation dans une prison spéciale pour créatures surnaturelles. Possible de jouer sur un côté clair/sombre.

J'aime le noir et blanc. Mais la couleur, si elle n'est pas flashy, ne me dérange aucune. Breeeeyyyfff, si le môssieur vous inspire, faites vous plaisir et n'hésitez pas à me taguer pour que je puisse voir vos oeuvres ! ♥ Merci d'avance à celleux qui s'essayeront. PS : ouais je pourrais venir en mp toussa, mais j'ose pas déranger les gens, j'suis timide xD

CONSIDÉREZ LES OBSTACLES DE LA VIE COMME DES PHASES DE VOTRE FORMATION MENTALE

Les obstacles matériels que la vie nous impose ne sont que des barrières temporaires ayant pour but de nous faire voir qui nous sommes par essence. Par conséquent, cette vie pour l’Adepte des Sciences Mentales n’est rien d’autre qu’une grande école. Pour en savoir plus :

DÉVELOPPEZ VOTRE CONCENTRATION MENTALE AU PLUS HAUT DEGRÉ

E-BOOK: https://www.amazon.com/dp/B0CC2R4R9K

LIVRE IMPRIMÉ: https://www.amazon.com/dp/B0CCCMRPPF

CONSIDÉREZ LES OBSTACLES DE LA VIE COMME DES PHASES DE VOTRE FORMATION MENTALE

Les obstacles matériels que la vie nous impose ne sont que des barrières temporaires ayant pour but de nous faire voir qui nous sommes par essence. Par conséquent, cette vie pour l’Adepte des Sciences Mentales n’est rien d’autre qu’une grande école. Pour en savoir plus :

DÉVELOPPEZ VOTRE CONCENTRATION MENTALE AU PLUS HAUT DEGRÉ

E-BOOK: https://www.amazon.com/dp/B0CC2R4R9K

LIVRE IMPRIMÉ: https://www.amazon.com/dp/B0CCCMRPPF

Tuteur, élève ressource

Pour diversifier nature des groupements

Début année :

évaluation diagnostique : base constitution groupe de besoins

évaluation plurielle (plusieurs critères : maitrise, rapidité d'exécution...) pour évaluation le potentiel de l'élève plus que la performance produite

tuteur répartis dans groupes : prise en compte spécificité du profil pour éviter problème de démotivation

mobilité : possibilité d'évolution, de passerelle entre les groupes gage efficacité, rassembler plusieurs groupes lors restitution, créer des sous-groupes en combinant d'autres variables (groupe besoins, envies, entraide, savoir-faire...)

Groupes d'entraide :

création conditions favorables réussites élèves en cours apprentissage ou difficulté

élèves tuteurs, experts et soutiens : aide qui renforce interventions enseignants

capacité élèves à dire avec "leurs mots"

Rôle tuteurs :

demander aux tuteurs d'identifier un indice, une connaissance et une méthode qui pourrait aider les autres (travail en autonomie)

aider les autres progressivement, différents rythmes selon difficultés groupes (joker : indice au bout 5min, 10min connaissance, 15 point méthode)

après série réalisée : le tuteur doit expliquer à son groupe les procédures qu'il utilise pour réussir (critères établis en amont avec élèves pour faciliter cette verbalisation)

Bénéfices :

didactiques : cadre pour favoriser compétences tuteurs pour la réussite des autres, formuler avec "leurs mots"

éducatif : créer structure interaction favorisant solidarité dans groupes hétérogènes

psychologiques : rassurer élèves en difficulté grâce à l'aide qu'ils peuvent recevoir

Ville de Saguenay

Don d’un terrain pour la Coopérative d’habitation La Solidarité de Saguenay Continue reading Ville de Saguenay

Le réveil des combattants (numéro 907) édité par l'ARAC portant sur la fraternisation.

Thierry Zaveroni : "La franc-maçonnerie est une école à penser par soi-même"

La Franc-maçonnerie, une école pour penser par soi-même Je suis convaincu que la Franc-maçonnerie est avant tout une école pour apprendre à penser par soi-même. Dans un monde marqué par le conformisme et les vérités préfabriquées, notre institution offre un espace unique pour exercer son libre arbitre et cultiver un esprit critique éclairé. Une quête personnelle et collective Penser par…

View On WordPress