Az - Exchange Hybrid Impersonation (ACS Actor Tokens)

Tip

सीखें और अभ्यास करें AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
सीखें और अभ्यास करें GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
सीखें और अभ्यास करें Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

बुनियादी जानकारी

पुराने Exchange Hybrid डिजाइनों में, on-prem Exchange deployment उसी Entra application identity के रूप में authenticate कर सकती थी जो Exchange Online द्वारा उपयोग की जाती थी। यदि एक attacker ने Exchange सर्वर compromise कर लिया, hybrid certificate private key निकाल ली, और एक OAuth client-credentials flow किया, तो वे Exchange Online privilege context वाले first-party tokens प्राप्त कर सकते थे।

व्यावहारिक जोखिम केवल mailbox पहुँच तक सीमित नहीं था। क्योंकि Exchange Online का बैक-एंड पर व्यापक ट्रस्ट रिश्ते थे, यह identity अतिरिक्त Microsoft 365 सेवाओं के साथ इंटरैक्ट कर सकती थी और पुराने व्यवहार में इसे गहरे tenant compromise के लिए भी उपयोग किया जा सकता था।

हमले के रास्ते और तकनीकी प्रवाह

Exchange के माध्यम से Federation कॉन्फ़िगरेशन में बदलाव

Exchange tokens ऐतिहासिक रूप से domain/federation settings लिखने की permissions रखते थे। हमलावर के दृष्टिकोण से, इससे federated domain trust डेटा, जैसे token-signing certificate lists और उन configuration flags का सीधे समायोजन संभव हो जाता था जो on-prem federation infrastructure से आने वाले MFA-claim की स्वीकार्यता को नियंत्रित करते थे।

इसका मतलब है कि compromised Exchange Hybrid server का उपयोग cloud साइड से federation config बदलकर ADFS-style impersonation को stage या मजबूत करने के लिए किया जा सकता था, भले ही attacker सिर्फ on-prem Exchange compromise से शुरू हुआ हो।

ACS Actor Tokens और Service-to-Service Impersonation

Exchange का hybrid auth path Access Control Service (ACS) actor tokens का उपयोग करता था जिनमें trustedfordelegation=true था। उन actor tokens को फिर एक दूसरे, unsigned service token में embed किया जाता था जो target user identity को attacker-controlled सेक्शन में रखता था। चूंकि outer token unsigned था और actor token व्यापक रूप से delegated था, caller बिना पुनः प्रमाणीकृत किए target users बदल सकता था।

व्यवहार में, एक बार actor token प्राप्त हो जाने पर, attacker के पास एक long-lived impersonation primitive होता था (आम तौर पर लगभग 24 hours) जिसे lifetime के बीच में revoke करना मुश्किल होता था। इससे Exchange Online और SharePoint/OneDrive APIs में user impersonation संभव हो जाती थी, जिसमें high-value data exfiltration भी शामिल था।

ऐतिहासिक रूप से, यही पैटर्न graph.windows.net के खिलाफ भी काम करता था, जहां victim के netId मान के साथ एक impersonation token बनाया जाता था। इससे arbitrary users के रूप में सीधे Entra administrative action मिल सकती थी और full-tenant takeover workflows सक्षम होते थे (उदाहरण के लिए, एक नया Global Administrator account बनाना)।

अब क्या काम नहीं करता

graph.windows.net impersonation path जो Exchange Hybrid actor tokens के माध्यम से था, उसे ठीक कर दिया गया है। पुराना “Exchange to arbitrary Entra admin over Graph” chain इस विशिष्ट token route के लिए हटा हुआ माना जाना चाहिए।

यह attack का दस्तावेजीकरण करते समय सबसे महत्वपूर्ण सुधार है: Exchange/SharePoint impersonation जोखिम को अब-पैच्ड Graph impersonation escalation से अलग रखें।

व्यवहार में क्या अभी भी मायने रखता है

यदि कोई संगठन अभी भी साझा ट्रस्ट और exposed certificate material वाले पुराने या अधूरे hybrid configuration चला रहा है, तो Exchange/SharePoint impersonation का प्रभाव गंभीर बना रह सकता है। federation-configuration abuse कोण भी tenant setup और migration स्थिति पर निर्भर करते हुए प्रासंगिक रह सकता है।

Microsoft का दीर्घकालिक निवारण on-prem और Exchange Online identities को अलग करना है ताकि shared-service-principal trust path मौजूद न रहे। जिन वातावरणों ने वह migration पूरा कर लिया है वे इस attack surface को महत्वपूर्ण रूप से कम कर देते हैं।

डिटेक्शन नोट्स

जब इस technique का दुरुपयोग होता है, audit events में identity mismatches दिख सकते हैं जहाँ user principal name एक impersonated user के अनुरूप होता है जबकि display/source context Exchange Online गतिविधि की ओर इशारा करता है। यह mixed identity पैटर्न एक उच्च-मूल्य वाली hunting signal है, हालांकि defenders को false positives कम करने के लिए legitimate Exchange-admin workflows का baseline लेना चाहिए।

संदर्भ

Tip

सीखें और अभ्यास करें AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
सीखें और अभ्यास करें GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
सीखें और अभ्यास करें Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें