Az - Exchange Hybrid Impersonation (ACS Actor Tokens)

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subscription plans!
• Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

Basiese Inligting

In erfenis Exchange Hybrid-ontwerpe kon die on-prem Exchange-implementering verifieer as dieselfde Entra-toepassingsidentiteit wat deur Exchange Online gebruik is. As ’n aanvaller die Exchange-bediener gekompromitteer het, die hybrid sertifikaat private sleutel onttrek het, en ’n OAuth client-credentials flow uitgevoer het, kon hulle first-party tokens met Exchange Online-privilegie-konteks bekom.

Die praktiese risiko het nie tot mailbox access beperk gebly nie. Omdat Exchange Online wye back-end trust-verhoudings gehad het, kon hierdie identiteit met addisionele Microsoft 365-dienste interaksie hê en, in ouer gedrag, benut word vir dieper tenant compromise.

Aanvalspaaie en Tegniese Vloei

Wysig federasie-konfigurasie via Exchange

Exchange tokens het histories permissies gehad om domain/federation settings te skryf. Vanuit ’n aanvallersperspektief het dit direkte manipulasie van federated domain trust-data moontlik gemaak, insluitend token-signing certificate lists en konfigurasievlae wat MFA-claim acceptance vanaf on-prem federation infrastructure beheer het.

Dit beteken ’n gekompromitteerde Exchange Hybrid-bediener kon gebruik word om ADFS-style impersonation te beplan of te versterk deur federasie-konfigurasie van die cloud-kant te verander, selfs wanneer die aanvaller slegs vanaf on-prem Exchange-kompromise begin het.

ACS Actor Tokens en Service-to-Service Impersonation

Exchange se hybrid auth-pad het Access Control Service (ACS) actor tokens gebruik met trustedfordelegation=true. Daardie actor tokens is toe ingebed in ’n tweede, unsigned service token wat die teiken-gebruiker se identiteit in ’n aanvaller-beheerde afdeling gedra het. Omdat die buitenste token unsigned was en die actor token breed gedelegeer het, kon die aanroeper teiken-gebruikers ruil sonder herverifikasie.

In die praktyk, sodra die actor token bekom is, het die aanvaller ’n langlewende impersonation primitive gehad (tipies ongeveer 24 uur) wat moeilik mid-lifetime te beëindig was. Dit het gebruikersimpersonering oor Exchange Online en SharePoint/OneDrive APIs moontlik gemaak, insluitend high-value data exfiltration.

Histories het dieselfde patroon ook teen graph.windows.net gewerk deur ’n impersonation token te bou met die slagoffer se netId-waarde. Dit het direkte Entra administratiewe aksie as willekeurige gebruikers verleen en volledige-tenant takeover-workflows moontlik gemaak (byvoorbeeld die skep van ’n nuwe Global Administrator account).

Wat Nie Meer Werk Nie

Die graph.windows.net impersonation-pad via Exchange Hybrid actor tokens is reggestel. Die ou “Exchange to arbitrary Entra admin over Graph” ketting moet as verwyder beskou word vir hierdie spesifieke token-roete.

Dit is die belangrikste korreksie wanneer die aanval gedokumenteer word: hou die Exchange/SharePoint impersonation-risiko apart van die nou-gepatchte Graph impersonation escalation.

Wat Nog Steeds Saak Maak in die Praktijk

As ’n organisasie steeds ’n ou of onvolledige hybrid-konfigurasie met gedeelde trust en blootgestelde sertifikaatmateriaal draai, kan die impak van Exchange/SharePoint impersonation steeds ernstig bly. Die misbruikhoek van federasie-konfigurasie kan ook relevant bly, afhangend van tenant-opstelling en migrasiestaat.

Microsoft se langtermyn-mitigasie is om die on-prem en Exchange Online-identiteite te skei sodat die shared-service-principal trust-pad nie meer bestaan nie. Omgewings wat daardie migrasie voltooi het, verminder hierdie aanvalsvlak beduidend.

Opsporingsnotas

Wanneer hierdie techniek misbruik word, kan audit events identiteit-onversoenbaarhede toon waar die user principal name ooreenstem met ’n geïmpersonifiseerde gebruiker terwyl die display/source-konteks na Exchange Online-aktiwiteit wys. Daardie gemengde identiteitspatroon is ’n waardevolle opsporingssein, alhoewel verdedigers legitieme Exchange-admin-workflows behoort te baselien om vals positiewe te verminder.

Verwysings

• https://www.youtube.com/watch?v=rzfAutv6sB8

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subscription plans!
• Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.