BloodHound CE中AZResetPassword边缘关系问题分析

问题概述

在BloodHound CE 6.1.0版本中，存在一个关于Azure AD权限提升路径分析的逻辑问题。该问题会导致系统错误地生成AZResetPassword边缘关系，使得低权限管理员看似能够重置高权限角色关联用户的密码，而实际上Azure AD的安全机制会阻止此类操作。

技术背景

在Azure AD权限模型中，存在不同级别的管理员角色。其中：

1. 低权限管理员角色：如用户管理员(User Administrator)，可以管理普通用户账户
2. 高权限管理员角色：如特权身份验证管理员(Privileged Authentication Administrator)，拥有更敏感的操作权限

微软为保护高权限角色，实施了特殊的安全控制措施，不仅保护角色成员，还保护角色关联组的所有者。

问题详细分析

错误行为表现

当满足以下条件时，BloodHound会错误地创建AZResetPassword边缘关系：

1. 创建一个角色可分配组
2. 为该组分配高权限角色(如特权身份验证管理员)
3. 设置一个用户作为该组的所有者
4. 另一个用户被授予低权限角色(如用户管理员)

在此配置下，BloodHound会显示低权限管理员可以通过密码重置操作影响高权限角色关联用户，这与实际Azure AD的安全机制不符。

实际Azure AD安全机制

根据微软官方文档，Azure AD会对以下用户实施额外保护：

• 直接分配了高权限角色的用户
• 高权限角色关联组的成员
• 高权限角色关联组的所有者

这些保护措施包括阻止低权限管理员执行密码重置等敏感操作。

影响范围

该问题影响使用BloodHound CE进行Azure AD攻击路径分析的安全团队，可能导致：

1. 误报(false positive)攻击路径
2. 高估低权限账户的攻击能力
3. 制定不准确的防御策略

解决方案

该问题已在最新版本中修复。修复方案包括：

1. 扩展权限检查逻辑，不仅验证组成员关系
2. 增加对组所有者关系的特殊处理
3. 确保与Azure AD实际安全机制保持一致

最佳实践建议

对于使用BloodHound进行Azure AD安全分析的安全团队，建议：

1. 及时升级到修复版本
2. 重新评估现有的攻击路径分析结果
3. 结合微软官方文档验证关键权限提升路径
4. 特别注意组所有权在权限模型中的影响

该问题的修复提高了BloodHound对Azure AD权限模型分析的准确性，使安全团队能够更可靠地识别真实的攻击路径。