1 차 새로 고침 토큰이 해커의 선택 대상이되고 있습니다.

충분히주의를 기울이지 않았다면 스테로이드의 슈퍼 브라우저 토큰과 같은 새로운 유형의 액세스 제어 토큰이 해커의 선택 목표가되고 있습니다.

If you haven’t been paying attention closely enough, a new type of access control token, like a super browser token on steroids, is becoming hackers' theft target of choice. It is known as a primary refresh token. In the Microsoft ecosystem, it’s the king of tokens.

충분히주의를 기울이지 않았다면 스테로이드의 슈퍼 브라우저 토큰과 같은 새로운 유형의 액세스 제어 토큰이 해커의 선택 목표가되고 있습니다. 기본 새로 고침 토큰으로 알려져 있습니다. Microsoft 생태계에서는 토큰의 왕입니다.

Most access control tokens give users access to a single application, service, or site. If I use my browser to successfully login to an app/service/site, my browser will get a browser “cookie,” which is just a text file usually containing a randomly generated session ID, that gives that browser continued access to that app/service/site without having to re-logon again for a preset number of days or weeks.

대부분의 액세스 제어 토큰은 사용자가 단일 응용 프로그램, 서비스 또는 사이트에 액세스 할 수 있도록합니다. 내 브라우저를 사용하여 앱/서비스/사이트에 성공적으로 로그인하는 경우 브라우저는 브라우저 "쿠키"가 표시됩니다.이 브라우저는 일반적으로 무작위로 생성 된 세션 ID를 포함하는 텍스트 파일입니다. 이는 해당 브라우저가 app/service/사이트에 계속 액세스 할 수 없습니다.

My browser gets a separate access control token cookie for each app/service/site I successfully log on to. Most of us, if we go to our cookie directory, will see hundreds of cookies.

내 브라우저는 내가 성공적으로 로그온하는 각 앱/서비스/사이트에 대해 별도의 액세스 제어 토큰 쿠키를 가져옵니다. 우리 대부분은 쿠키 디렉토리로 이동하면 수백 개의 쿠키를 볼 수 있습니다.

Hackers and their malware creations love to steal our browser cookies because they act as “bearer tokens.” Whoever has them is essentially seen as us to that app/service/site. Here is a great demo created by the late, great Kevin Mitnick (our former Chief Hacking Officer and owner) on a cookie being stolen and reused.

해커와 그들의 맬웨어 창조물은 브라우저 쿠키가 "베어러 토큰"역할을하기 때문에 브라우저 쿠키를 훔치는 것을 좋아합니다. 그들을 가진 사람은 본질적으로 그 앱/서비스/사이트에 우리로 간주됩니다. 다음은 쿠키가 도난 당하고 재사용 한 쿠키에 대한 늦은 위대한 Kevin Mitnick (전 최고 해킹 책임자 및 소유자)이 만든 훌륭한 데모입니다.

Hackers love cookie theft because it can work whether you are using a password, multi-factor authentication (MFA), biometrics, or some other super-duper authentication method. If the hacker gets your access control token cookie, it’s game over…for you and the involved app/site/service.

해커는 쿠키 도난을 좋아합니다. 비밀번호, MFA (Multi-Factor 인증), 생체 인식 또는 기타 수퍼 듀퍼 인증 방법을 사용하는지 여부에 관계없이 작동 할 수 있습니다. 해커가 액세스 컨트롤 토큰 쿠키를 받으면 게임 오버… 귀하와 관련 앱/사이트/서비스를 제공합니다.

Hackers have been stealing browser cookies for decades, and just now some organizations, like Google, are trying to come up with ways to better protect them, such as device-bound cookies. Still, importantly, none of the existing cookie protections are all that great. Most can still be easily circumvented by hackers. Your cookies are still very valuable to any hacker who has them.

해커는 수십 년 동안 브라우저 쿠키를 훔쳐 왔으며, 이제 Google과 같은 일부 조직은 장치가 바운드 쿠키와 같은 더 나은 보호 방법을 찾아 내려고 노력하고 있습니다. 그럼에도 불구하고, 기존 쿠키 보호는 그다지 훌륭하지 않습니다. 대부분은 여전히 ​​해커가 쉽게 우회 할 수 있습니다. 쿠키는 여전히 쿠키를 가지고있는 모든 해커에게 매우 가치가 있습니다.

Most cybersecurity defenders have understood our cookie problem. What most defenders are not aware of is Microsoft’s new primary refresh tokens, which are sort of like an access control token cookie on steroids.

대부분의 사이버 보안 수비수는 쿠키 문제를 이해했습니다. 대부분의 수비수가 알지 못하는 것은 스테로이드의 액세스 제어 토큰 쿠키와 같은 Microsoft의 새로운 기본 새로 고침 토큰입니다.

What is a Primary Refresh Token?In short, it’s a Microsoft-only invention used in Microsoft ecosystems (AFAIK) that allows a user or device to access multiple apps/services/sites at once (i.e., Single-Sign-On) and usually for extended periods of time. They’ve been around since at least 2020, but are gaining in popularity.

기본 새로 고침 토큰은 무엇입니까? 요컨대, Microsoft Ecosystems (AFAIK)에 사용되는 Microsoft 전용 발명품으로, 사용자 또는 장치가 한 번에 여러 앱/서비스/사이트에 액세스 할 수 있으며 일반적으로 장기간 오랜 시간 동안 오랫동안 오랜 시간 동안 여러 앱/서비스/사이트에 액세스 할 수 있습니다. 그들은 적어도 2020 년부터 주변에 있었지만 인기가 높아지고 있습니다.

Microsoft describes them this way:

Microsoft는 다음과 같은 방식으로 설명합니다.

“A Primary Refresh Token (PRT) is a key artifact of Microsoft Entra [formerly Microsoft Azure AD] authentication on Windows 10 or newer, Windows Server 2016 and later versions, iOS, and Android devices. It's a JSON Web Token (JWT) specially issued to Microsoft first party token brokers to enable single sign-on (SSO) across the applications used on those devices.

“PRT (Primary Comperto Token)는 Windows 10 또는 Windows Server 2016 및 이후 버전, iOS 및 Android 장치에서 Microsoft Entra [이전 Microsoft Azure AD] 인증의 주요 인공물입니다. Microsoft First Party 토큰 브로커에게 특별히 발행 된 JWT (JSON Web Token)로 해당 장치에서 사용되는 응용 프로그램에서 SSO (Single Sign-On)를 활성화합니다.

In this article, provide details on how a PRT is issued, used, and protected on Windows 10 or newer devices. We recommend using the latest versions of Windows 10, Windows 11 and Windows Server 2019+ to get the best SSO experience.”

이 기사에서는 PRT가 Windows 10 또는 새로운 장치에서 발행, 사용 및 보호되는 방법에 대한 세부 정보를 제공합니다. 최신 버전의 Windows 10, Windows 11 및 Windows Server 2019+를 사용하여 최고의 SSO 경험을 얻는 것이 좋습니다.”

When you logon to a Microsoft ecosystem, especially using a device officially “registered” with Microsoft Entra, a primary refresh token could/will be issued to your user for a particular device. It contains your device ID and an encrypted session symmetric key.

Microsoft Ecosystem, 특히 Microsoft Entra에 공식적으로 "등록 된"장치를 사용하여 Microsoft Ecosystem에 로그온하면 특정 기기에 대해 기본 새로 고침 토큰이 사용자에게 발행 될 수 있습니다. 장치 ID와 암호화 된 세션 대칭 키가 포함되어 있습니다.

When you log in to the Microsoft ecosystem (e.g., Microsoft Entra, Microsoft O365, etc.), your Microsoft Windows 10/Microsoft Windows Server 2016 or later device will communicate with the Windows Cloud Authentication Provider. The Microsoft Entra plug-in will validate your credentials (e.g., password, MFA, Windows Hello, etc.) and return a primary refresh token and the included session key.

Microsoft Ecosystem (예 : Microsoft Entra, Microsoft O365 등)에 로그인하면 Microsoft Windows 10/Microsoft Windows Server 2016 이상이 Windows Cloud Authentication 제공 업체와 통신합니다. Microsoft Entra 플러그인은 자격 증명 (예 : 비밀번호, MFA, Windows Hello 등)을 검증하고 기본 새로 고침 토큰 및 포함 된 세션 키를 반환합니다.

Windows will encrypt the session key with the Trusted Platform Module (TPM) chip encryption key (if available) and then store it locally using Windows Local Security Authority Subsystem Service (LSASS), where Microsoft stores and processes a lot of authentication info.

Windows는 TPM (Trusted Platform Module) 칩 암호화 키 (사용 가능한 경우)와 함께 세션 키를 암호화 한 다음 Microsoft가 많은 인증 정보를 저장하고 처리하는 Windows Local Security Authority Subsystem Service (LSASS)를 사용하여 로컬에서 저장합니다.

You can see if you and your device have a primary refresh token is present on a device running the following command in a command prompt:

귀하와 귀하의 장치가 명령 프롬프트에서 다음 명령을 실행하는 장치에 기본 새로 고침 토큰이 있는지 확인할 수 있습니다.

dsregcmd /status and then ENTER.

dsregcmd /status 다음을 입력하십시오.

Find the "SSO state" section and look for the "AzureAdPrt" value. It will be set to "YES" if you have a primary refresh token or "NO" if you don’t. The session key is the “bearer token.” There is currently no way to see “inside” a primary refresh token the way you can a browser cookie. You could be issued multiple primary refresh tokens, one for each user work account registered to the device.

"SSO 상태"섹션을 찾고 "AzureadPrt"값을 찾으십시오. 기본 새로 고침 토큰이 있거나 그렇지 않은 경우 "아니오"가있는 경우 "예"로 설정됩니다. 세션 키는 "Bearer Token"입니다. 현재 브라우저 쿠키를 할 수있는 방법을 기본 새로 고침 토큰을 "내부"하는 방법은 없습니다. 장치에 등록 된 각 사용자 작업 계정마다 하나의 기본 새로 고침 토큰이 발행 될 수 있습니다.

An issued primary refresh token is good for two weeks (14 days) and continuously renewed every 4 hours as long as the related user is active on

발행 된 1 차 새로 고침 토큰은 2 주 (14 일)에 좋고 관련 사용자가 활성화되는 한 4 시간마다 지속적으로 갱신합니다.