语言:
第一方服务主体(企业应用程序)来自 Microsoft 的应用程序(应用程序注册)。他们中的大多数在 Microsoft Entra ID 中拥有一些在安全检查过程中经常被忽略的敏感权限。攻击者可以借此向这些主体添加凭据,以隐蔽的方式利用主体的特权获益。
因为拥有应用程序管理员角色的主体可以将凭据添加至应用程序(包括拥有更高特权的应用程序),所以这项技术提供持久性能力和特权提升。
除极少数情况(参阅“建议”)外,第一方服务主体不应该拥有任何凭据。
APT29 威胁组织在 2020 年 12 月滥用这种方法对 SolarWinds 发起了臭名昭著的“Solorigate”攻击,Microsoft 和 Mandiant 对此均有记录。
首先评估观察到的凭据的合法性。如果这些凭据与以下服务主体之一相关联,则可以认为这些凭据是合法的:Exchange Online/Skype for Business/AAD Password Protection Proxy。
在您怀疑凭据不合法的其他情况下:
与附加在应用程序中的凭据不同,您无法使用 Azure 门户列出服务主体凭据。使用以下来自 AzureAD PowerShell 模块的 cmdlet 来列出服务主体凭据:
Get-AzureADServicePrincipalKeyCredential
Get-AzureADServicePrincipalPasswordCredential
如要删除这些凭据,请使用:
Remove-AzureADServicePrincipalKeyCredential
Remove-AzureADServicePrincipalPasswordCredential
名称: 具有凭据的第一方服务主体
代码名称: FIRST-PARTY-SERVICE-PRINCIPAL-WITH-CREDENTIALS
严重程度: High
技术: T1098.001
More: Azure AD privilege escalation - Taking over default application permissions as Application Admin