新型Active Directory(活动目录)横向渗透技术可绕过认证并窃取数据
内容提要
最新研究表明,攻击者可利用Active Directory和Microsoft Entra ID的漏洞,完全控制租户,绕过多因素认证,非法访问Exchange Online和SharePoint。微软已部分修复,但风险依然存在,企业需加强审计和监控。
关键要点
-
攻击者可利用Active Directory和Microsoft Entra ID的漏洞实现完全租户控制。
-
攻击者可绕过多因素认证,非法访问Exchange Online和SharePoint。
-
向OnPremAuthenticationFlowPolicy注入密钥可伪造Kerberos票据,且不被检测。
-
Exchange混合证书可生成全局管理员权限的S2S令牌,且不产生审计日志。
-
微软已部分修复漏洞,但Exchange和SharePoint仍存在风险。
-
攻击者可通过篡改无缝单点登录配置伪造Kerberos服务票据。
-
攻击者可利用ADSyncCertDump.exe提取Exchange混合证书,获取无限制访问权限。
-
S2S令牌在颁发和使用过程中不会生成审计日志,且无法撤销。
-
企业应加强审计和监控,识别可疑活动并实施最小权限原则。
-
安全团队需监控认证策略的未授权修改,考虑迁移至专用Exchange混合应用程序。
延伸解读
攻击手法的隐蔽性
攻击者利用的横向渗透技术具有高度隐蔽性,尤其是通过注入密钥伪造Kerberos票据的方式,能够绕过多因素认证而不被检测。这意味着企业在安全审计时,可能难以发现潜在的安全漏洞和攻击活动,需加强对认证流程的监控。
S2S令牌的风险
S2S令牌的生成和使用过程中不产生审计日志,且无法撤销,这使得攻击者在获得令牌后可以无限制访问Exchange Online和SharePoint。企业应特别关注这一点,确保对令牌的管理和监控,以防止未授权访问。
微软的修复措施与企业应对
尽管微软已实施部分修复措施,但Exchange和SharePoint的漏洞仍然存在,企业必须采取主动防护措施,如实施最小权限原则和监控认证策略的修改。及时审计和识别可疑活动是防止攻击的关键。
延伸问答
攻击者如何利用Active Directory和Microsoft Entra ID的漏洞实现完全控制?
攻击者通过横向渗透技术,利用Active Directory和Microsoft Entra ID中的漏洞,绕过多因素认证,非法访问Exchange Online和SharePoint。
什么是OnPremAuthenticationFlowPolicy注入密钥?
OnPremAuthenticationFlowPolicy注入密钥是一种攻击手法,攻击者通过向该策略注入自定义对称密钥,伪造Kerberos票据,从而绕过多因素认证。
微软对这些漏洞采取了哪些修复措施?
微软已于2025年8月实施部分修复措施,阻止针对第一方服务主体凭证的S2S令牌滥用,但Exchange和SharePoint的漏洞仍然存在。
S2S令牌有什么风险?
S2S令牌在颁发和使用过程中不会生成审计日志,且无法撤销,攻击者可利用其模拟租户内任意用户,造成严重安全隐患。
企业应如何加强对Active Directory的审计和监控?
企业应使用检测查询审计Exchange混合配置,识别可疑活动,并实施最小权限原则,监控认证策略的未授权修改。
攻击者如何利用ADSyncCertDump.exe提取Exchange混合证书?
攻击者使用ADSyncCertDump.exe等工具从本地服务器提取Exchange混合证书,进而请求服务到服务的执行者令牌,获取无限制访问权限。
