Maître

L'article discute des défis liés à l'utilisation d'Intune pour les mouvements latéraux via des agents de commande et de contrôle (C2). L'auteur explique que même si la station de travail d'un administrateur Intune est compromise, l'exécution de scripts ou d'applications sur des appareils inscrits à Intune n'est pas évidente en raison des stratégies d'accès conditionnel (CAP) et des exigences d'authentification multifacteur (MFA). L'auteur souligne la nécessité de maintenir la discrétion et d'éviter d'utiliser des outils suspects ou de générer des journaux d'activité suspects. Pour surmonter ces obstacles, l'auteur présente Maestro, un outil open-source qui automatise le processus d'utilisation des privilèges d'un administrateur Intune pour exécuter des actions sur des appareils inscrits à Intune. Maestro utilise un cookie de jeton de rafraîchissement principal (PRT) pour interagir avec Azure et exécuter des scripts, des applications et des requêtes de dispositifs sur les appareils Intune. L'outil prend soin d'acquérir les jetons nécessaires et de faire des requêtes HTTP pour exécuter l'action souhaitée. Maestro peut être utilisé pour exécuter le chemin d'attaque "Death from Above", qui consiste à accéder à un référentiel de code en se déplaçant latéralement vers la station de travail d'un utilisateur. L'auteur fournit un tutoriel sur l'utilisation de Maestro avec le framework C2 Mythic pour exécuter des scripts, des applications et des requêtes de dispositifs sur les appareils Intune. Maestro peut également être utilisé pour résoudre les ID d'utilisateur en noms principaux et interroger les appareils en temps réel. Les fonctionnalités et l'utilisation de l'outil sont démontrées à travers divers exemples, notamment l'exécution de scripts PowerShell et d'applications sur les appareils Intune.