Güvenlik araştırmacıları, kimlik doğrulamasını atlamak ve hassas verileri dışarı atmak için hibrid Active Directory (AD) ve Entra ID ortamlarındaki zayıflıklardan yararlanan yeni bir saldırı tekniğini ortaya çıkardılar.
Siber güvenlik uzmanı Dirk-Jan Molema tarafından Black Hat USA 2025’te sergilenen yöntem, şirket içi reklamı Azure Entra ID ile senkronize eden organizasyonları hedefliyor ve sınırsız erişim elde etmek için tehlikeye atılmış senkronizasyon kimlik bilgilerinden yararlanıyor.
Saldırının merkezinde, işletmeler tarafından şirket içi reklamdan kullanıcı hesaplarını ve kimlik bilgilerini entra kimliğine çoğaltmak için kullanılan Microsoft Entra Connect Hizmeti bulunmaktadır.
Saldırganlar hem senkronizasyon hizmetinin sertifikasını hem de özel anahtarını çıkarabilir.
Bu anahtarlarla, rakipler geçerli kimlik doğrulama jetonları oluşturabilir ve çok faktörlü kimlik doğrulama veya koşullu erişim politikalarını tetiklemeden entra kimliği tarafından kabul edilen kimlik iddialarını etkili bir şekilde oluşturabilir.

Saldırganlar dövme jetonlarına sahip olduklarında, kiracı ile herhangi bir hibrit kullanıcıyı-AD’den senkronize edinse de “yalnızca bulut” hesabı olarak oluşturulur-taklit edebilirler.
Bu, ayrıcalıklı roller de dahil olmak üzere dizin nesneleri arasında tam okuma ve yazma ayrıcalıkları verir.
Molema’nın gösterisinde, saldırgan düşük ayrıcalıklı bir bulut kullanıcısını “yumuşak eşleştirme” yoluyla senkronize bir hibrit hesaba dönüştürdü, böylece yükseltilmiş idari hakları devraldı ve kaçınma tespit mekanizmaları.
Teknik dizin erişiminin ötesine uzanır. Exchange hibrit yapılandırmalarını kötüye kullanarak, saldırganlar “Trustedfordelegation” iddialarını taşıyan Hizmet-Hizmete (S2S) belirteç talep edebilir ve bunların Exchange’deki herhangi bir posta kutusunu çevrimiçi olarak taklit etmelerini ve e-postaları, belgeleri ve işbirliği artefaktlarını potansiyel olarak açıklayabilir.
S2S jetonları 24 saat boyunca imzasız ve geçerli olduğundan, ihraç veya kullanım sırasında hiçbir günlük üretilmez ve güvenlik ekiplerini uzlaşmaya kör bırakır.
Tehdidi birleştiren Molema, rakiplerin arka kapı kimlik bilgilerini eklemek veya uygulama kontrollerini devre dışı bırakmak için koşullu erişim ve harici kimlik doğrulama yöntemleri gibi grafik API politikalarını nasıl manipüle edebileceğini gösterdi.

Kesintisiz Kerberos kimlik doğrulaması için kullanılan sorunsuz tek oturum açma (SSO) anahtarları, anahtar rulolarından sağ kalan kalıcı uzaktan erişim sağlayarak saldırgan kontrollü tuşlarla enjekte edilebilir veya döndürülebilir.
Microsoft, son yamalarda birkaç Entra Connect tabanlı saldırı yoluna hitap etti, senkronizasyon hesabından gereksiz grafik API izinlerini iptal etti ve küresel yöneticiler için yumuşak eşleşme önlemlerini sertleştirdi.
Bununla birlikte, birçok işletme ortamı, hibrid değişim ve entra hizmetleri tamamen ayrılana kadar savunmasız kalır – Microsoft’un Ekim 2025’e kadar zorunlu olmasını planlamaktadır.
Kuruluşlardan, yetkisiz sertifika ihracatı için senkronizasyon sunucularını denetlemeleri, donanım destekli anahtar depolamayı uygulamaya ve olağandışı grafik API çağrılarını izlemeleri istenir.
Exchange Hibrit Uygulama Bölme, düzenli olarak dönen SSO anahtarlarını ve kısıtlama dizinini etkinleştirme.
Hibrit kimlik dağıtımları her yerde bulundukça, güvenlik ekipleri sıfır tröst duruşunu benimsemeli ve senkronizasyon hizmetlerinin herhangi bir zamanda tehlikeye atılabileceğini varsaymalıdır.
The Ultimate SOC-as-a-Service Pricing Guide for 2025
– Ücretsiz indir