Az - Exchange Hybrid Impersonation (ACS Actor Tokens)

Tip

Nauči & vežbaj AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Nauči & vežbaj GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Nauči & vežbaj Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Osnovne informacije

U legacy Exchange Hybrid dizajnima, on-prem Exchange deployment je mogao da se autentifikuje kao isti Entra application identity koji koristi Exchange Online. Ako je napadač kompromitovao Exchange server, ekstrahovao privatni ključ hibridnog sertifikata i izvršio OAuth client-credentials flow, mogao je dobiti first-party tokens sa Exchange Online privilege kontekstom.

Praktični rizik nije bio ograničen samo na pristup poštanskim sandučetima. Pošto je Exchange Online imao široke back-end trust relacije, ovaj identity je mogao da interaguje sa dodatnim Microsoft 365 servisima i, u starijem ponašanju, mogao je biti iskorišćen za dublje kompromitovanje tenanta.

Attack Paths and Technical Flow

Modify Federation Configuration via Exchange

Exchange tokens su istorijski imali permisije za pisanje domen/federation podešavanja. Iz perspektive napadača, ovo je omogućavalo direktnu manipulaciju podacima o poverenju federisanih domena, uključujući liste sertifikata za potpisivanje tokena i konfiguracione flagove koji kontrolišu prihvatanje MFA-claimova sa on-prem federation infrastrukture.

To znači da kompromitovani Exchange Hybrid server može biti iskorišćen za postavljanje ili jačanje ADFS-style impersonation tako što se menja federation config sa cloud strane, čak i kada je napadač počeo samo od on-prem Exchange kompromisa.

ACS Actor Tokens and Service-to-Service Impersonation

Exchange-ov hibridni auth put koristio je Access Control Service (ACS) actor tokens sa trustedfordelegation=true. Ti actor tokens su zatim bili ubačeni u drugi, nepotpisani service token koji je nosio ciljnu korisničku identitet u delu koji je kontrolisao napadač. Pošto je spoljašnji token bio nepotpisan a actor token delegirao široko, pozivalac je mogao da menja ciljane korisnike bez ponovne autentikacije.

U praksi, kada bi actor token bio dobijen, napadač je dobio long-lived impersonation primitive (tipično oko 24 sata) koji je bilo teško opozvati tokom trajanja. Ovo je omogućavalo user impersonation preko Exchange Online i SharePoint/OneDrive APIs, uključujući eksfiltraciju vrednih podataka.

Istorijski, isti obrazac je takođe radio protiv graph.windows.net tako što se gradio impersonation token sa victim-ovim netId vrednostima. To je omogućavalo direktno Entra administrativno delovanje kao proizvoljni korisnici i omogućavalo full-tenant takeover tokove rada (na primer, kreiranje novog Global Administrator naloga).

Šta više ne radi

graph.windows.net impersonation put preko Exchange Hybrid actor tokens je ispravljen. Stari lanac “Exchange to arbitrary Entra admin over Graph” treba smatrati uklonjenim za ovaj specifičan token route.

Ovo je najvažnija ispravka pri dokumentovanju napada: držite Exchange/SharePoint impersonation rizik odvojenim od sada-patchovanog Graph impersonation eskaliranja.

Šta još može biti važno u praksi

Ako organizacija i dalje radi staru ili nepotpunu hybrid konfiguraciju sa shared trust i izloženim sertifikacionim materijalom, Exchange/SharePoint impersonation uticaj može ostati ozbiljan. Angle zloupotrebe federation-configuration takođe može ostati relevantan u zavisnosti od tenant podešavanja i stanja migracije.

Microsoft-ova dugoročna mitigacija je razdvajanje on-prem i Exchange Online identiteta tako da shared-service-principal trust putanja više ne postoji. Okruženja koja su završila tu migraciju materijalno smanjuju ovaj attack surface.

Napomene za detekciju

Kada se ova tehnika zloupotrebljava, audit događaji mogu pokazivati mismatch-e identiteta gde user principal name odgovara impersoniranom korisniku dok display/source kontekst ukazuje na Exchange Online aktivnost. Taj kombinovani obrazac identiteta je high-value hunting signal, mada branitelji treba da izgrade baseline legitimnih Exchange-admin workflow-a kako bi smanjili false positives.

References

Tip

Nauči & vežbaj AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Nauči & vežbaj GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Nauči & vežbaj Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks