Az - Exchange Hybrid Impersonation (ACS Actor Tokens)

Tip

AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)
Az 해킹 학습 및 실습: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 플랜을 확인하세요!
• 참여하세요 💬 Discord group 또는 telegram group에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
• PR을 제출하여 해킹 트릭을 공유하세요: HackTricks 및 HackTricks Cloud github repos.

기본 정보

레거시 Exchange Hybrid 설계에서는 on-prem Exchange 배포가 Exchange Online에서 사용되는 동일한 Entra 애플리케이션 아이덴티티로 인증할 수 있었습니다. 공격자가 Exchange 서버를 침해하고 hybrid certificate private key를 추출한 다음 OAuth client-credentials 흐름을 수행하면, Exchange Online 권한 컨텍스트를 가진 first-party tokens를 획득할 수 있었습니다.

실제 위험은 메일박스 접근에만 국한되지 않았습니다. Exchange Online이 광범위한 백엔드 신뢰 관계를 가지고 있었기 때문에, 이 아이덴티티는 추가적인 Microsoft 365 서비스와 상호작용할 수 있었고, 이전 동작에서는 더 깊은 tenant 침해로 악용될 수 있었습니다.

공격 경로 및 기술 흐름

Exchange를 통한 Federation 구성 수정

Exchange tokens는 과거에 도메인/페더레이션 설정을 쓸 수 있는 권한을 갖고 있었습니다. 공격자 관점에서는 이는 token-signing certificate 목록과 on-prem federation 인프라에서의 MFA-claim 수용을 제어하는 구성 플래그를 포함해 페더레이션 도메인 신뢰 데이터를 직접 조작할 수 있게 했습니다.

즉, 침해된 Exchange Hybrid 서버는 공격자가 최초 침해를 on-prem Exchange에서 시작했더라도 클라우드 측에서 federation config를 변경해 ADFS-style impersonation을 준비하거나 강화하는 데 사용될 수 있었습니다.

ACS Actor Tokens and Service-to-Service Impersonation

Exchange의 hybrid auth 경로는 trustedfordelegation=true가 설정된 Access Control Service (ACS) actor tokens를 사용했습니다. 그 actor tokens는 공격자가 제어하는 섹션에 대상 사용자 아이덴티티를 담은 두 번째 서명되지 않은 service token 안에 포함되었습니다. 외부 토큰이 서명되지 않았고 actor token이 광범위하게 위임되었기 때문에, 호출자는 재인증 없이 대상 사용자를 교체할 수 있었습니다.

실무적으로 actor token을 획득하면 공격자는 수명 중간에 취소하기 어려운 장기간의 impersonation primitive(일반적으로 약 24시간)를 가졌습니다. 이는 Exchange Online 및 SharePoint/OneDrive APIs 전반에서 사용자 impersonation을 가능하게 하여 고가치 데이터 유출을 초래할 수 있었습니다.

역사적으로 같은 패턴은 피해자의 netId 값을 사용해 impersonation token을 구축함으로써 graph.windows.net에도 작동했습니다. 이는 임의 사용자로서 직접적인 Entra 관리 작업을 가능하게 했고 전체-tenant 탈취 워크플로(예: 새로운 Global Administrator 계정 생성)를 수행할 수 있게 했습니다.

더 이상 작동하지 않는 것

Exchange Hybrid actor tokens를 통한 graph.windows.net impersonation 경로는 수정되었습니다. 이 특정 토큰 경로에 대한 이전의 “Exchange → 임의 Entra admin over Graph” 체인은 더 이상 존재하지 않는 것으로 간주해야 합니다.

이 점은 공격을 문서화할 때 가장 중요한 수정사항입니다: Exchange/SharePoint impersonation 위험은 이제 패치된 Graph impersonation 권한 상승과 구분해서 다루어야 합니다.

실제로 여전히 문제가 될 수 있는 것

조직이 여전히 공유 신뢰와 노출된 certificate 정보를 가진 오래되었거나 불완전한 hybrid 구성을 운영 중이라면, Exchange/SharePoint impersonation 영향은 여전히 심각할 수 있습니다. 페더레이션 구성 남용 관점도 tenant 설정 및 마이그레이션 상태에 따라 여전히 관련성이 있을 수 있습니다.

Microsoft의 장기 완화책은 on-prem과 Exchange Online 아이덴티티를 분리하여 shared-service-principal 신뢰 경로가 더 이상 존재하지 않게 하는 것입니다. 해당 마이그레이션을 완료한 환경은 이 공격 표면을 실질적으로 줄입니다.

탐지 노트

이 기법이 악용되면 감사 이벤트에서 user principal name이 모방된 사용자에 해당하는 반면 표시/출처 컨텍스트는 Exchange Online 활동을 가리키는 식의 아이덴티티 불일치가 나타날 수 있습니다. 이러한 혼합된 아이덴티티 패턴은 높은 가치의 헌팅 신호지만, 수비자는 오탐을 줄이기 위해 정상적인 Exchange-admin 워크플로를 기준선으로 설정해야 합니다.

참고자료

• https://www.youtube.com/watch?v=rzfAutv6sB8

Tip

AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)
Az 해킹 학습 및 실습: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 플랜을 확인하세요!
• 참여하세요 💬 Discord group 또는 telegram group에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
• PR을 제출하여 해킹 트릭을 공유하세요: HackTricks 및 HackTricks Cloud github repos.