Az - Exchange Hybrid Impersonation (ACS Actor Tokens)

Tip

学んで実践する AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学んで実践する GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学んで実践する Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks をサポートする

• subscription plans を確認してください!
• 参加する 💬 Discord group または telegram group に参加するか、Twitter 🐦 @hacktricks_live をフォローしてください。
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

基本情報

レガシーな Exchange Hybrid 設計では、オンプレミスの Exchange 展開が Exchange Online と同じ Entra アプリケーション識別子として認証できました。攻撃者が Exchange サーバを乗っ取り、hybrid certificate private key を抽出し、OAuth client-credentials flow を実行すると、Exchange Online の権限コンテキストを持つ first-party tokens を取得できました。

実際のリスクはメールボックスアクセスに限定されませんでした。Exchange Online は広範なバックエンド信頼関係を持っていたため、この識別子は追加の Microsoft 365 サービスと相互作用でき、古い挙動ではより深いテナント侵害に利用される可能性がありました。

攻撃経路と技術的フロー

Exchange 経由でのフェデレーション設定の変更

Exchange tokens は歴史的にドメイン/フェデレーション設定を書き換える権限を持っていました。攻撃者の観点では、これによりトークン署名証明書リストやオンプレミスのフェデレーションインフラからの MFA-claim 受け入れを制御する構成フラグなど、フェデレーションドメインの信頼データを直接操作できました。

つまり、侵害された Exchange Hybrid サーバは、攻撃者がオンプレミス Exchange の侵害から始めた場合でも、クラウド側からフェデレーション設定を変更して ADFS-style のインパーソネーションを仕込んだり強化したりするために利用できたということです。

ACS Actor Tokens とサービス間インパーソネーション

Exchange のハイブリッド認証経路は Access Control Service (ACS) actor tokens を trustedfordelegation=true として使用していました。これらの actor tokens は、攻撃者が制御するセクションにターゲットユーザの識別を含む、2 番目の署名されていない service token に埋め込まれていました。外側のトークンが署名されておらず、actor token が広く委任していたため、呼び出し側は再認証なしにターゲットユーザを差し替えることができました。

実務上、actor token を取得すると、攻撃者は取り消しが困難な長期間のインパーソネーションプリミティブ（通常は約 24 時間）を得ることになりました。これにより、Exchange Online と SharePoint/OneDrive APIs 全体でのユーザ・インパーソネーションが可能となり、高価値データの exfiltration を含む行為が行えました。

歴史的には、同じパターンが graph.windows.net に対しても機能し、victim の netId 値を使ってインパーソネーショントークンを構築することで、任意のユーザとしての直接的な Entra 管理操作を可能にし、フルテナント乗っ取りワークフロー（例えば新しい Global Administrator アカウントの作成）を実現していました。

もはや機能しないもの

Exchange Hybrid actor tokens を介した graph.windows.net へのインパーソネーション経路は修正されました。古い「Exchange から任意の Entra 管理者へ Graph 経由で昇格する」チェーンは、この特定のトークン経路については取り除かれたと考えるべきです。

攻撃を文書化する際の最も重要な修正点は、Exchange/SharePoint のインパーソネーションリスクを、現在パッチが当てられた Graph インパーソネーションのエスカレーションから分けて扱うことです。

実務上依然として重要になり得ること

組織がまだ共有トラストと公開された証明書情報を持つ古いまたは不完全なハイブリッド構成を運用している場合、Exchange/SharePoint のインパーソネーション影響は依然として深刻であり得ます。フェデレーション設定の悪用角度も、テナントのセットアップや移行状態に応じて関連性を保つ可能性があります。

Microsoft の長期的な緩和策は、オンプレと Exchange Online のアイデンティティを分離して、shared-service-principal の信頼経路が存在しなくなるようにすることです。その移行を完了した環境は、この攻撃面を大幅に減らします。

検出ノート

この手法が悪用されると、監査イベントにおいて user principal name がインパーソネートされたユーザに対応している一方で、表示/ソースのコンテキストが Exchange Online のアクティビティを指しているようなアイデンティティ不一致が見られることがあります。そのような混合アイデンティティのパターンは価値の高いハンティングシグナルですが、誤検知を減らすために正当な Exchange-admin ワークフローをベースライン化する必要があります。

参考資料

• https://www.youtube.com/watch?v=rzfAutv6sB8

Tip

学んで実践する AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学んで実践する GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学んで実践する Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks をサポートする

• subscription plans を確認してください!
• 参加する 💬 Discord group または telegram group に参加するか、Twitter 🐦 @hacktricks_live をフォローしてください。
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.