Sofistike saldırı vektörleri, Hibrid Active Directory ve Microsoft Entra ID ortamlarından yararlandığını ve saldırganların daha önce bilinmeyen yanal hareket teknikleri aracılığıyla nasıl tam kiracı uzlaşmasını sağlayabileceğini gösterdi.
Black Hat USA 2025’te sunulan bu yöntemler, Microsoft’un kimlik doğrulama altyapısında, geleneksel kimlik doğrulama bariyerleri olmadan Exchange Online, SharePoint ve Entra Kimliğine yetkisiz erişime izin veren kritik güvenlik açıklarını ortaya çıkarır.
Key Takeaways
1. Inject keys into OnPremAuthenticationFlowPolicy to forge Kerberos tickets, bypassing MFA undetected.
2. Exchange hybrid certs generate S2S tokens with Global Admin access without audit logs.
3. Microsoft blocked some abuse (Aug 2025), Exchange/SharePoint still vulnerable.
Kesintisiz SSO Anahtar Manipülasyonu
Dirk-Jan Molema’nın Blackhat sunumuna göre, şirket içi Active Directory Control’ü olan saldırganlar, kiracıdaki herhangi bir kullanıcı için Kerberos servis biletlerini oluşturmak için kesintisiz tek oturum açma (SSO) yapılandırmalarını manipüle edebilir.
OnPremeuthenticationFlowPolicy’ye arka kapı anahtarları ekleyerek, tehdit aktörleri çok faktörlü kimlik doğrulama gereksinimlerini atlayan kalıcı erişim mekanizmaları oluşturabilir.
Teknik, 13371337-ab99-4d21-9c03-ED4789511d01 gibi tanımlayıcılara politikanın Keysinformation dizisine enjekte etmeyi ve herhangi bir alan kullanıcısı için RC4-Karakterli Kerberos bilet üretimini mümkün kılan RC4-Karakter Kerberos bilet üretimini enjekte etmeyi içerir.
Özellikle, mantıksal tutarsızlığa rağmen paradoksal olarak çalışan .onmicrosoft.com alanlarında bu arka kapı anahtarlarını sağlama yeteneğidir.
Saldırı, JWT jetonlarındaki Trustedfordelegation iddiasından yararlanarak herhangi bir hibrit kullanıcı hesabının taklit edilmesine izin veriyor. Microsoft’un denetim günlükleri bu değişikliklere görünür olmaz ve algılamayı güvenlik ekipleri için son derece zorlaştırır.
Değişim Hibrit Sertifikaları
En yıkıcı saldırı vektörü, sertifika tabanlı kimlik doğrulama kötüye kullanımı yoluyla değişim hibrit dağıtımlarını kullanır.
Saldırganlar, adsynccertDump.exe gibi araçları kullanarak şirket içi sunuculardan hibrid sertifikaları çıkarabilir ve Microsoft’un Erişim Kontrol Hizmetinden (ACS) Servis-Serbest Hizmete (S2S) aktör belirteçleri istemek için kullanabilir.
Hizmet ana tanımlayıcısını içeren bu imzasız taşıyıcı jetonları 00000002-0000-0ff1-ce00-000000000000, kullanıcı bağlamı doğrulaması olmadan Exchange Online ve SharePoint’e sınırsız erişim sağlar.
S2S jetonları, Saldırganların kiracı içindeki herhangi bir kullanıcıyı 24 saat boyunca taklit etmesini sağlayarak Trustedfordelegation özelliğinden yararlanır.
Kritik olarak, bu jetonlar düzenleme veya kullanım sırasında denetim günlüğü üretmez, koşullu erişim politikası uygulanması olmadan çalışmaz ve yayınlandıktan sonra tanıtılamaz kalmaz.
Saldırı zinciri, Graph.windows.NET uç noktaları için aktör jetonlarının talep edilmesini ve tüm Microsoft 365 ortamında küresel yönetici ayrıcalıklarını etkin bir şekilde vermeyi içerir.
Hafifletme
Microsoft, bu güvenlik açıklarını kabul etti ve Ağustos 2025 itibariyle birinci taraf hizmet ana kimlik bilgileri için S2S jeton kötüye kullanımı da dahil olmak üzere kısmi hafifletmeler uyguladı.
Bununla birlikte, değişim ve SharePoint kimliğine bürünme yetenekleri işlevsel kalır ve hibrit dağıtımlar için devam eden riskler oluşturmaktadır.
Şirket, Ekim 2025 yılına kadar şirket içi değişim ve çevrimiçi hizmet prensipleri borsasının zorunlu olarak ayrılmasını zorunlu kılmayı planlıyor.
Kuruluşlar, AuditLogs gibi algılama sorgularını kullanarak değişim hibrit yapılandırmalarını derhal denetlemelidir | Şüpheli faaliyetleri tanımlamak için initiatedby.user.displayName == “Office 365 Online Exchange”.
Ek koruyucu önlemler arasında, yalnızca bulut hesap devralmalarını önlemek ve dizin senkronizasyon hesapları için en az ayrıcalık ilkesinin uygulanması için entra kimliği Connect’te sert eşleşmenin etkinleştirilmesi yer alır.
Güvenlik ekipleri ayrıca kimlik doğrulama politikalarında yetkisiz değişiklikleri izlemeli ve saldırı yüzeyine maruz kalmayı sınırlamak için özel değişim hibrit uygulamalarına geçmeyi düşünmelidir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın