Az - Exchange Hybrid Impersonation (ACS Actor Tokens)

Tip

Jifunze na ufanye mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na ufanye mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na ufanye mazoezi ya Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Saidia HackTricks

Taarifa za Msingi

Katika miundombinu ya zamani ya Exchange Hybrid, utekelezaji wa Exchange on-prem uliweza kuji-authenticate kama utambulisho wa programu ya Entra ulio tumika na Exchange Online. Ikiwa mshambulizi angevamia server ya Exchange, kutoa hybrid certificate private key, na kufanya OAuth client-credentials flow, angeweza kupata first-party tokens zenye muktadha wa vibali vya Exchange Online.

Hatari kwa vitendo haikuishia tu upatikanaji wa mailbox. Kwa sababu Exchange Online ilikuwa na mahusiano mapana ya kuaminiana kwa back-end, utambulisho huu unaweza kuingiliana na huduma nyingine za Microsoft 365 na, kwa tabia ya zamani, ungeweza kutumika kwa uendelezaji wa uvamizi wa kina wa tenant.

Njia za Shambulio na Mtiririko wa Kiufundi

Modify Federation Configuration via Exchange

Exchange tokens kihistoria zilikuwa na ruhusa za kuandika mipangilio ya domain/federation. Kwa mtazamo wa mshambulizi, hili liliruhusu udhibiti wa moja kwa moja wa data ya uaminifu ya domain zilizofederuliwa, ikiwa ni pamoja na token-signing certificate lists na configuration flags zinazodhibiti MFA-claim acceptance kutoka kwa on-prem federation infrastructure.

Hii ina maana kwamba server ya Exchange Hybrid iliyovamiwa inaweza kutumiwa kuandaa au kuimarisha ADFS-style impersonation kwa kubadilisha federation config kutoka upande wa cloud, hata kama mshambulizi alianza tu na uvamizi wa Exchange on-prem.

ACS Actor Tokens and Service-to-Service Impersonation

Njia ya auth ya hybrid ya Exchange ilitumia Access Control Service (ACS) actor tokens yenye trustedfordelegation=true. Actor tokens hizo zilijumuishwa ndani ya token nyingine ya huduma, isiyosainiwa, ambayo ilibeba utambulisho wa mtumiaji lengwa katika sehemu iliyo under attacker control. Kwa kuwa outer token haikusainiwa na actor token ilitoa delegation kwa upana, mwitishaji angeweza kubadilisha watumiaji walengwa bila kuji-authenticate tena.

Kivitendo, mara tu actor token ilipopatikana, mshambulizi angepata primitive ya kuiga yenye uhai mrefu (kawaida takribani saa 24) ambayo ilikuwa ngumu kuifuta katikati ya maisha yake. Hii iliruhusu user impersonation katika Exchange Online na SharePoint/OneDrive APIs, ikiwa ni pamoja na high-value data exfiltration.

Kihistoria, mtindo ule ule pia ulifanya kazi dhidi ya graph.windows.net kwa kujenga impersonation token na thamani ya netId ya mwathiriwa. Hii ilitoa uwezo wa hatua za kiutawala za Entra kama watumiaji yoyote na kuruhusu workflows za takeover ya tenant nzima (kwa mfano, kuunda akaunti mpya ya Global Administrator).

Mambo Ambayo Hayafanyi Kazi Sasa

The graph.windows.net impersonation path via Exchange Hybrid actor tokens imerepaired. The old “Exchange to arbitrary Entra admin over Graph” chain inapaswa kuchukuliwa kuwa imeondolewa kwa njia hii maalum ya token.

Hili ndilo marekebisho muhimu zaidi wakati wa kuandika shambulio: weka Exchange/SharePoint impersonation risk tofauti na sasa-patched Graph impersonation escalation.

Mambo Yanayoweza Baki Muhimu Kivitendo

Ikiwa shirika bado linaendesha usanidi wa zamani au usio kamilifu wa hybrid wenye shared trust na certificate material iliyofichuliwa, athari za Exchange/SharePoint impersonation zinaweza kubaki kali. Pembe ya matumizi mabaya ya federation-configuration pia inaweza kubaki muhimu kulingana na tenant setup na hali ya migration.

Kiumbeo cha muda mrefu cha Microsoft ni kugawa on-prem na Exchange Online identities ili shared-service-principal trust path isitoe tena. Mazingira yaliyomaliza migration hiyo hupunguza kwa kiasi kikubwa attack surface hii.

Vidokezo vya Ugunduzi

Wakati mbinu hii inatumika vibaya, matukio ya audit yanaweza kuonyesha identity mismatches ambapo user principal name inalingana na mtumiaji aliyeiga wakati display/source context inaonyesha shughuli za Exchange Online. Mfumo huo wa mixed identity ni ishara yenye thamani kwa ugaidi wa kutafuta, ingawa defenders wanapaswa kuweka baseline ya workflows halali za Exchange-admin ili kupunguza false positives.

References

Tip

Jifunze na ufanye mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na ufanye mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na ufanye mazoezi ya Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Saidia HackTricks