新型Active Directory(活动目录)横向渗透技术可绕过认证并窃取数据
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
最新研究表明,攻击者可利用Active Directory和Microsoft Entra ID的漏洞,完全控制租户,绕过多因素认证,非法访问Exchange Online和SharePoint。微软已部分修复,但风险依然存在,企业需加强审计和监控。
🎯
关键要点
- 攻击者可利用Active Directory和Microsoft Entra ID的漏洞实现完全租户控制。
- 攻击者可绕过多因素认证,非法访问Exchange Online和SharePoint。
- 向OnPremAuthenticationFlowPolicy注入密钥可伪造Kerberos票据,且不被检测。
- Exchange混合证书可生成全局管理员权限的S2S令牌,且不产生审计日志。
- 微软已部分修复漏洞,但Exchange和SharePoint仍存在风险。
- 攻击者可通过篡改无缝单点登录配置伪造Kerberos服务票据。
- 攻击者可利用ADSyncCertDump.exe提取Exchange混合证书,获取无限制访问权限。
- S2S令牌在颁发和使用过程中不会生成审计日志,且无法撤销。
- 企业应加强审计和监控,识别可疑活动并实施最小权限原则。
- 安全团队需监控认证策略的未授权修改,考虑迁移至专用Exchange混合应用程序。
❓
延伸问答
攻击者如何利用Active Directory和Microsoft Entra ID的漏洞实现完全控制?
攻击者通过横向渗透技术,利用Active Directory和Microsoft Entra ID中的漏洞,绕过多因素认证,非法访问Exchange Online和SharePoint。
什么是OnPremAuthenticationFlowPolicy注入密钥?
OnPremAuthenticationFlowPolicy注入密钥是一种攻击手法,攻击者通过向该策略注入自定义对称密钥,伪造Kerberos票据,从而绕过多因素认证。
微软对这些漏洞采取了哪些修复措施?
微软已于2025年8月实施部分修复措施,阻止针对第一方服务主体凭证的S2S令牌滥用,但Exchange和SharePoint的漏洞仍然存在。
S2S令牌有什么风险?
S2S令牌在颁发和使用过程中不会生成审计日志,且无法撤销,攻击者可利用其模拟租户内任意用户,造成严重安全隐患。
企业应如何加强对Active Directory的审计和监控?
企业应使用检测查询审计Exchange混合配置,识别可疑活动,并实施最小权限原则,监控认证策略的未授权修改。
攻击者如何利用ADSyncCertDump.exe提取Exchange混合证书?
攻击者使用ADSyncCertDump.exe等工具从本地服务器提取Exchange混合证书,进而请求服务到服务的执行者令牌,获取无限制访问权限。
➡️
