Biztonsági kutatók egy új, kifinomult támadási módszert tártak fel, amely a hibrid Active Directory (AD) és Microsoft Entra ID rendszerek gyengeségeit használja ki azonosítási folyamatok megkerülésére és érzékeny adatok kinyerésére. A technikát Dirk-jan Mollema mutatta be a Black Hat USA 2025 konferencián, hangsúlyozva, hogy a módszer különösen azokra a szervezetekre jelent veszélyt, amelyek az on-premises AD-t Azure Entra ID-val szinkronizálják.
A támadás középpontjában az Entra Connect szinkronizációs szolgáltatás áll, amely az AD-ból szinkronizálja a felhasználói fiókokat és hitelesítő adatokat az Entra ID-be. Ha a támadók hozzáférést szereznek az Entra Connect szerverhez – például laterális mozgással vagy hitelesítő adatok kinyerésével –, akkor megszerezhetik a szinkronizációs szolgáltatás tanúsítványát és annak privát kulcsát.
Ezekkel a kulcsokkal érvényes hitelesítési tokeneket tudnak generálni, amelyekkel a támadók hamis identitásigazolásokat hozhatnak létre az Entra ID számára anélkül, hogy a multifaktoros hitelesítés vagy a feltételes hozzáférési szabályok aktiválódnának.
A hamisított tokenek birtokában a támadók bármely hibrid felhasználóként léphetnek be – akár on-premises AD-ból szinkronizált, akár csak felhőben létrehozott fiókként –, teljes olvasási és írási jogosultságokat szerezve az összes címtár objektumhoz, beleértve a privilegizált szerepköröket is.
Mollema demonstrációjában egy alacsony jogosultságú felhőfelhasználót „soft matching” technikával alakított át szinkronizált hibrid fiókká, ezzel megkapva az adminisztrátori jogosultságokat és kikerülve a biztonsági ellenőrzéseket.
A támadás kiterjed a Microsoft Exchange hibrid konfigurációkra is. Az S2S (Service-to-Service) tokenekkel a támadók bármely Exchange Online postafiókot megszemélyesíthetnek, és adatokat – e-maileket, dokumentumokat – exfiltrálhatnak. Ezek a tokenek aláíratlanok, 24 órán át érvényesek, és használatuk nem hagy nyomot a naplókban, így a biztonsági csapatok számára észrevehetetlenek maradnak.
Továbbá a támadók képesek manipulálni a Graph API szabályokat (például feltételes hozzáférés és külső hitelesítési módszerek), hogy hátsó ajtós hozzáférést hozzanak létre vagy letiltsák a védelmi mechanizmusokat. Az SSO kulcsok (a zökkenőmentes Kerberos hitelesítéshez) injektálása vagy cseréje tartós hozzáférést biztosít a támadóknak még kulcscsere után is.
Microsoft a közelmúltban több javítást adott ki az Entra Connect támadási felületeinek szűkítésére, például a Graph API jogosultságok korlátozására és a soft matching megerősítésére. Azonban a legtöbb vállalati környezet még mindig sebezhető, amíg az Exchange és Entra szolgáltatások teljes körű elkülönítése nem történik meg – ezt a Microsoft 2025 októberéig tervezi kötelezővé tenni.
A szakértők azt javasolják, hogy szervezetek rendszeresen auditálják a szinkronizációs szervereket, korlátozzák a tanúsítványok exportját, alkalmazzanak hardveres kulcstárolást, és figyeljék a szokatlan Graph API hívásokat. Emellett az Exchange hibrid alkalmazásokat külön kell választani, az SSO kulcsokat rendszeresen forgatni kell, és a Directory.ReadWrite.All jogosultságokat szigorúan korlátozni kell.
Ahogy a hibrid identitás rendszerek terjednek, a biztonsági csapatoknak meg kell valósítaniuk a zero-trust elveket, és számolniuk kell azzal, hogy a szinkronizációs szolgáltatások bármikor veszélybe kerülhetnek.
