Az - Exchange Hybrid 冒充 (ACS Actor Tokens)

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 subscription plans!

加入 💬 Discord group 或者 telegram group 或关注我们的 Twitter 🐦 @hacktricks_live.

通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PRs 来分享 hacking tricks。

基本信息

在传统的 Exchange Hybrid 设计中，本地部署的 Exchange 可以以与 Exchange Online 使用的相同 Entra 应用身份进行身份验证。如果攻击者攻破 Exchange 服务器、提取混合证书私钥并执行 OAuth client-credentials flow，他们就能获取具有 Exchange Online 权限上下文的 first-party tokens。

实际风险不限于邮箱访问。由于 Exchange Online 拥有广泛的后端信任关系，该身份可以与其他 Microsoft 365 服务交互，在旧行为下甚至可被利用进行更深层次的租户妥协。

攻击路径与技术流程

通过 Exchange 修改联合配置

历史上，Exchange 令牌具有写入域/联合设置的权限。从攻击者角度，这允许直接操纵联合域信任数据，包括令牌签名证书列表和控制是否接受来自本地联合基础设施的 MFA 声明的配置标志。

这意味着受损的 Exchange Hybrid 服务器可以被用于通过云端更改联合配置来发起或加强 ADFS-style impersonation，即使攻击者最初只是从本地 Exchange 入手。

Exchange 的混合身份验证路径使用了 Access Control Service (ACS) actor tokens，并带有 trustedfordelegation=true。这些 actor tokens 随后被嵌入到第二个未签名的服务令牌中，该外层令牌在攻击者可控的部分携带目标用户身份。由于外层令牌未签名且 actor token 授权范围广泛，调用者可以在不重新认证的情况下替换目标用户。

实际上，一旦获取了 actor token，攻击者就拥有一个长时效的冒充原语（通常约 24 小时），在生命周期中难以撤销。这使得在 Exchange Online 和 SharePoint/OneDrive APIs 之间进行用户冒充成为可能，包括高价值数据的外发。

历史上，同样的模式也能针对 graph.windows.net 起作用——通过构建包含受害者 netId 值的冒充令牌。那可以以任意用户身份直接执行 Entra 管理操作，并实现整体租户接管工作流（例如创建新的 Global Administrator 帐号）。

https://www.youtube.com/watch?v=rzfAutv6sB8

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 subscription plans!

加入 💬 Discord group 或者 telegram group 或关注我们的 Twitter 🐦 @hacktricks_live.

通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PRs 来分享 hacking tricks。

HackTricks Cloud

Az - Exchange Hybrid 冒充 (ACS Actor Tokens)

基本信息

攻击路径与技术流程

通过 Exchange 修改联合配置

ACS Actor Tokens 和服务对服务冒充

不再有效的部分

在实践中仍可能重要的事项

检测注意事项

参考资料