Az - Exchange Hybrid Impersonation (ACS Actor Tokens)

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Βασικές Πληροφορίες

Σε παλαιότερα σχέδια Exchange Hybrid, η on-prem Exchange εγκατάσταση μπορούσε να αυθεντικοποιηθεί ως η ίδια ταυτότητα εφαρμογής Entra που χρησιμοποιεί το Exchange Online. Εάν ένας επιτιθέμενος παραβίαζε τον Exchange server, εξήγαγε το ιδιωτικό κλειδί του hybrid certificate και εκτελούσε μια OAuth client-credentials ροή, θα μπορούσε να αποκτήσει first-party tokens με πλαίσιο προνομίων Exchange Online.

Ο πρακτικός κίνδυνος δεν περιοριζόταν στην πρόσβαση σε mailbox. Επειδή το Exchange Online είχε ευρείες back-end σχέσεις εμπιστοσύνης, αυτή η ταυτότητα μπορούσε να αλληλεπιδράσει με επιπλέον Microsoft 365 υπηρεσίες και, σε παλαιότερη συμπεριφορά, να αξιοποιηθεί για βαθύτερη παραβίαση του tenant.

Διαδρομές Επίθεσης και Τεχνική Ροή

Modify Federation Configuration via Exchange

Τα Exchange tokens ιστορικά είχαν δικαιώματα για εγγραφή ρυθμίσεων domain/federation. Από την πλευρά του επιτιθέμενου, αυτό επέτρεπε άμεση χειραγώγηση των δεδομένων εμπιστοσύνης federated domain, συμπεριλαμβανομένων των λιστών token-signing certificates και των configuration flags που έλεγχαν την αποδοχή MFA-claim από την on-prem federation υποδομή.

Αυτό σημαίνει ότι ένας παραβιασμένος Exchange Hybrid server μπορούσε να χρησιμοποιηθεί για να στηθεί ή να ενισχυθεί ADFS-style impersonation αλλάζοντας τη federation config από την πλευρά του cloud, ακόμη και όταν ο επιτιθέμενος ξεκινούσε μόνο από παραβίαση του on-prem Exchange.

ACS Actor Tokens and Service-to-Service Impersonation

Η hybrid auth διαδρομή του Exchange χρησιμοποιούσε Access Control Service (ACS) actor tokens με trustedfordelegation=true. Αυτά τα actor tokens ενσωματώνονταν στη συνέχεια σε ένα δεύτερο, μη υπογεγραμμένο service token που μετέφερε την ταυτότητα του στοχευόμενου χρήστη σε ένα τμήμα ελεγχόμενο από τον επιτιθέμενο. Εφόσον το εξωτερικό token ήταν μη υπογεγραμμένο και το actor token εξουσιοδοτούσε ευρέως, ο καλών μπορούσε να αλλάζει τους στοχευόμενους χρήστες χωρίς επανααυθεντικοποίηση.

Στην πράξη, μόλις αποκτηθεί το actor token, ο επιτιθέμενος είχε ένα μακροχρόνιο impersonation primitive (τυπικά περίπου 24 ώρες) που ήταν δύσκολο να ανακληθεί κατά τη διάρκεια της ζωής του. Αυτό επέτρεπε impersonation χρηστών σε Exchange Online και SharePoint/OneDrive APIs, συμπεριλαμβανομένης της εξαγωγής υψηλής αξίας δεδομένων.

Ιστορικά, το ίδιο μοτίβο λειτουργούσε επίσης εναντίον του graph.windows.net με το να κατασκευαστεί ένα impersonation token με την τιμή netId του θύματος. Αυτό παρείχε άμεση Entra administrative δράση ως αυθαίρετοι χρήστες και επέτρεπε workflows πλήρους takeover του tenant (για παράδειγμα, δημιουργία νέου Global Administrator λογαριασμού).

Τι Δε Λειτουργεί Πλέον

Η διαδρομή impersonation graph.windows.net μέσω Exchange Hybrid actor tokens έχει διορθωθεί. Η παλιά αλυσίδα “Exchange to arbitrary Entra admin over Graph” θα πρέπει να θεωρείται αφαιρεμένη για αυτήν τη συγκεκριμένη διαδρομή token.

Αυτή είναι η πιο σημαντική διόρθωση κατά την τεκμηρίωση της επίθεσης: διαχωρίστε τον κίνδυνο Exchange/SharePoint impersonation από την πλέον patched Graph impersonation escalation.

Τι Μπορεί Ακόμα να Έχει Σημασία στην Πράξη

Εάν ένας οργανισμός εξακολουθεί να τρέχει μια παλιά ή ελλιπή hybrid configuration με shared trust και εκτεθειμένο certificate material, ο αντίκτυπος του Exchange/SharePoint impersonation μπορεί να παραμείνει σοβαρός. Η πλευρά κατάχρησης της federation-configuration μπορεί επίσης να παραμείνει σχετική ανάλογα με τη ρύθμιση του tenant και την κατάσταση της migration.

Η μακροπρόθεσμη μετρίαση της Microsoft είναι ο διαχωρισμός των on-prem και Exchange Online ταυτοτήτων ώστε η διαδρομή shared-service-principal trust να μην υπάρχει πλέον. Περιβάλλοντα που ολοκλήρωσαν αυτήν τη migration μειώνουν ουσιαστικά αυτήν την attack surface.

Σημειώσεις Ανίχνευσης

Όταν αυτή η τεχνική καταχράται, τα audit events μπορούν να εμφανίσουν ασυμφωνίες ταυτοτήτων όπου το user principal name αντιστοιχεί σε impersonated χρήστη ενώ το display/source context δείχνει σε δραστηριότητα Exchange Online. Αυτό το μίγμα ταυτότητας είναι ένα υψηλής αξίας hunting signal, αν και οι αμυνόμενοι θα πρέπει να δημιουργήσουν baseline για νόμιμα Exchange-admin workflows ώστε να μειώσουν τα false positives.

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks