首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
您找到你想要的搜索结果了吗?
是的
没有找到

从 Azure AD 到 Active Directory(通过 Azure)——意外的攻击路径

虽然 Azure 在某些方面利用 Azure Active Directory,但 Azure AD 角色通常不会直接影响 Azure(或 Azure RBAC)。本文详细介绍了一个已知配置(至少对于那些深入研究过 Azure AD 配置选项的人来说),Azure Active Directory 中的全局管理员(又名公司管理员)可以通过租户选项获得对 Azure 的控制权。这是“按设计”作为“打破玻璃”(紧急)选项,可用于(重新)获得 Azure 管理员权限,如果此类访问权限丢失。 在这篇文章中,我探讨了与此选项相关的危险,它当前是如何配置的(截至 2020 年 5 月)。 这里的关键要点是,如果您不仔细保护和控制全局管理员角色成员资格和关联帐户,您可能会失去对所有 Azure 订阅中托管的系统以及 Office 365 服务数据的积极控制。 注意: 围绕此问题的大部分研究是在 2019 年 8 月至 2019 年 12 月期间进行的,自那时以来,Microsoft 可能已经在功能和/或能力方面进行了更改。

01

单点登录SSO的身份账户不一致漏洞

由于良好的可用性和安全性,单点登录 (SSO) 已被广泛用于在线身份验证。但是,它也引入了单点故障,因为所有服务提供商都完全信任由 SSO 身份提供商创建的用户的身份。在本文中调查了身份帐户不一致威胁,这是一种新的 SSO 漏洞,可导致在线帐户遭到入侵。该漏洞的存在是因为当前的 SSO 系统高度依赖用户的电子邮件地址来绑定具有真实身份的帐户,而忽略了电子邮件地址可能被其他用户重复使用的事实在 SSO 身份验证下,这种不一致允许控制重复使用的电子邮件地址的攻击者在不知道任何凭据(如密码)的情况下接管关联的在线帐户。具体来说,首先对多个云电子邮件提供商的帐户管理策略进行了测量研究,展示了获取以前使用过的电子邮件帐户的可行性。进一步对 100 个使用 Google 商业电子邮件服务和自己的域地址的流行网站进行了系统研究,并证明大多数在线帐户都可以通过利用这种不一致漏洞而受到损害。为了阐明电子邮件在野外重复使用,分析了导致广泛存在的潜在电子邮件地址冲突的常用命名约定,并对美国大学的帐户政策进行了案例研究。最后,为终端用户、服务提供商和身份提供商提出了一些有用的做法,以防止这种身份帐户不一致的威胁。

03

ATT&CK视角下的红蓝对抗之Windows访问控制模型

访问控制模型(Access Control Model)是指Windows操作系统关于安全性的一个概念,由访问令牌和安全描述符两部分构成,其中访问令牌是指由当前登录的Windows账号的用户持有,其中会包含了该账号的基础信息,包括用户帐户的标识和特权信息,安全描述符由要访问的对象持有,里面会包含当前对象的安全信息。假设当用户登录时,操作系统会对用户的帐户名和密码进行身份验证, 当登录成功时,系统会自动分配访问令牌(Access Token),访问令牌包含安全标识符,用于标识用户的帐户以及该用户所属的任何组帐户,当我们去创建一个进程也就是访问一个资源(进程资源)的时候,Access Token会被复制一份给进程,进程通过它的创建者所给它设置的安全描述符中的ACL来判断我们是否可以去访问,是否有权限去执行某步操作。

01

GetLastError错误代码

〖0〗-操作成功完成。   〖1〗-功能错误。   〖2〗-系统找不到指定的文件。   〖3〗-系统找不到指定的路径。   〖4〗-系统无法打开文件。   〖5〗-拒绝访问。   〖6〗-句柄无效。   〖7〗-存储控制块被损坏。   〖8〗-存储空间不足,无法处理此命令。   〖9〗-存储控制块地址无效。   〖10〗-环境错误。   〖11〗-试图加载格式错误的程序。   〖12〗-访问码无效。   〖13〗-数据无效。   〖14〗-存储器不足,无法完成此操作。   〖15〗-系统找不到指定的驱动器。   〖16〗-无法删除目录。   〖17〗-系统无法将文件移到不同的驱动器。   〖18〗-没有更多文件。   〖19〗-介质受写入保护。   〖20〗-系统找不到指定的设备。   〖21〗-设备未就绪。   〖22〗-设备不识别此命令。   〖23〗-数据错误 (循环冗余检查)。   〖24〗-程序发出命令,但命令长度不正确。   〖25〗-驱动器无法找出磁盘上特定区域或磁道的位置。   〖26〗-无法访问指定的磁盘或软盘。   〖27〗-驱动器找不到请求的扇区。   〖28〗-打印机缺纸。   〖29〗-系统无法写入指定的设备。   〖30〗-系统无法从指定的设备上读取。   〖31〗-连到系统上的设备没有发挥作用。   〖32〗-进程无法访问文件,因为另一个程序正在使用此文件。   〖33〗-进程无法访问文件,因为另一个程序已锁定文件的一部分。   〖36〗-用来共享的打开文件过多。   〖38〗-到达文件结尾。   〖39〗-磁盘已满。   〖50〗-不支持该请求。   〖51〗-远程计算机不可用 。   〖52〗-在网络上已有重复的名称。   〖53〗-找不到网络路径。   〖54〗-网络忙。   〖55〗-指定的网络资源或设备不再可用。   〖56〗-已到达网络 BIOS 命令限制。   〖57〗-网络适配器硬件出错。   〖58〗-指定的服务器无法运行请求的操作。   〖59〗-发生意外的网络错误。   〖60〗-远程适配器不兼容。   〖61〗-打印机队列已满。   〖62〗-无法在服务器上获得用于保存待打印文件的空间。   〖63〗-删除等候打印的文件。   〖64〗-指定的网络名不再可用。   〖65〗-拒绝网络访问。   〖66〗-网络资源类型错误。   〖67〗-找不到网络名。   〖68〗-超过本地计算机网卡的名称限制。   〖69〗-超出网络 BIOS 会话限制。   〖70〗-远程服务器已暂停,或正在启动过程中。   〖71〗-当前已无法再同此远程计算机连接,因为已达到计算机的连接数目极限。   〖72〗-已暂停指定的打印机或磁盘设备。   〖80〗-文件存在。   〖82〗-无法创建目录或文件。   〖83〗-INT 24 失败。   〖84〗-无法取得处理此请求的存储空间。   〖85〗-本地设备名已在使用中。   〖86〗-指定的网络密码错误。   〖87〗-参数错误。   〖88〗-网络上发生写入错误。   〖89〗-系统无法在此时启动另一个进程。   〖100〗-无法创建另一个系统信号灯。   〖101〗-另一个进程拥有独占的信号灯。   〖102〗-已设置信号灯且无法关闭。   〖103〗-无法再设置信号灯。   〖104〗-无法在中断时请求独占的信号灯。   〖105〗-此信号灯的前一个所有权已结束。   〖107〗-程序停止,因为替代的软盘未插入。   〖108〗-磁盘在使用中,或被另一个进程锁定。   〖109〗-管道已结束。   〖110〗-系统无法打开指定的设备或文件。   〖111〗-文件名太长。   〖112〗-磁盘空间不足。   〖113〗-无法再获得内部文件的标识。   〖114〗-目标内部文件的标识不正确。   〖117〗-应用程序制作的 IOCTL 调用错误。   〖118〗-验证写入的切换参数值错误。   〖119〗-系统不支持请求的命令。   〖120〗-此功能只被此系统支持。   〖121〗-信号灯超时时间已到。   〖122〗-传递到系统调用的数据区太小。   〖123〗-文件名、目录名或卷标语法不正确。   〖124〗-系统调用级别错误。   〖125〗-磁盘没有卷标。   〖126〗-找不到指定的模块。   〖127〗-找不到指定的程序。   〖128〗-没有等候的子进程。   〖130〗-试图使用操作(而非原始磁盘 I/O)的已打开磁盘分区的文件句柄。   〖131〗-试图移动文件指针到文件开头之前。   〖132〗-无法在指定的设备或文件上设置文件

01
领券