Az - Exchange Hybrid Impersonation (ACS Actor Tokens)

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Основна інформація

У застарілих Exchange Hybrid конфігураціях локальне розгортання Exchange могло автентифікуватися під тією ж ідентичністю застосунку Entra, що й Exchange Online. Якщо нападник компрометував сервер Exchange, витягнув приватний ключ гібридного сертифікату і виконав OAuth client-credentials flow, він міг отримати first-party tokens із контекстом привілеїв Exchange Online.

Практичний ризик не обмежувався доступом до поштових скриньок. Оскільки Exchange Online мав широкі бекенд-довіри, ця ідентичність могла взаємодіяти з додатковими Microsoft 365 сервісами і, у старій поведінці, використовуватись для глибшого компрометації тенанта.

Шляхи атаки та технічний потік

Зміна конфігурації федерації через Exchange

Exchange tokens історично мали дозволи на запис налаштувань домену/федерації. З точки зору нападника, це дозволяло безпосередньо маніпулювати даними довіри федеративних доменів, включно зі списками token-signing certificate та конфігураційними прапорцями, що контролювали прийняття MFA-claim з on-prem federation інфраструктури.

Це означає, що компрометований Exchange Hybrid сервер міг бути використаний для постановки або посилення ADFS-подібної імперсонації шляхом зміни federation config з боку хмари, навіть якщо атака починалася лише з компрометації on-prem Exchange.

ACS Actor Tokens і Service-to-Service Impersonation

Гібридний шлях автентифікації Exchange використовував Access Control Service (ACS) actor tokens з trustedfordelegation=true. Ці actor tokens потім вкладалися у другий, неподписаний service token, який переносив цільову ідентичність користувача в контрольованій нападником секції. Оскільки зовнішній токен був unsigned, а actor token делегувався широко, викликач міг змінювати цільових користувачів без повторної автентифікації.

На практиці, отримавши actor token, нападник отримував довготривалий примітив імперсонації (зазвичай близько 24 годин), який складно відкликати посеред життєвого циклу. Це дозволяло імітацію користувачів через Exchange Online і SharePoint/OneDrive APIs, включно з ексфільтрацією даних високої цінності.

Історично та сама схема також працювала проти graph.windows.net шляхом побудови impersonation token з netId жертви. Це надавало прямі адміністративні дії в Entra від імені довільних користувачів і дозволяло робочі процеси повного захоплення тенанта (наприклад, створення нового облікового запису Global Administrator).

Що більше не працює

Шлях імперсонації через graph.windows.net за допомогою Exchange Hybrid actor tokens було виправлено. Старий ланцюжок “Exchange до довільного Entra admin через Graph” слід вважати усуненим для цього конкретного маршруту токенів.

Це найважливіша корекція при документуванні атаки: тримайте ризик Exchange/SharePoint імперсонації окремо від тепер виправленого escalation через Graph.

Що може мати значення на практиці

Якщо організація досі працює зі старою або неповною hybrid конфігурацією з shared trust та відкритими матеріалами сертифікатів, вплив Exchange/SharePoint імперсонації може залишатися серйозним. Уразливість у зловживанні federation-configuration також може бути релевантною залежно від налаштувань тенанта та стану міграції.

Довгострокова міра Microsoft — розділення on-prem і Exchange Online ідентичностей, щоб шлях shared-service-principal довіри більше не існував. Середовища, які завершили цю міграцію, суттєво зменшують цю поверхню атаки.

Примітки щодо виявлення

Коли ця техніка зловживається, у аудитах можуть з’являтися події з невідповідностями ідентичностей, коли user principal name відповідає імперсонованому користувачу, тоді як display/source контекст вказує на активність Exchange Online. Така змішана картина ідентичностей є цінним hunting-сигналом, хоча захисникам варто базуватися на нормальних Exchange-admin робочих процесах, щоб зменшити false positives.

Посилання

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks