Добавить в корзинуПозвонить
Найти в Дзене
RedSec.BY | Кибербезопасность в Беларуси
7 подписчиков

Атакуем гибридную среду: как уязвимости в локальном Active Directory приводят к компрометации облака Microsoft 365 (и наоборот)

3
7 мин
Двусторонняя угроза гибридной инфраструктуры В современном цифровом ландшафте, особенно среди белорусских компаний корпоративного сектора, гибридная модель инфраструктуры стала стандартом де-факто. Локальный Active Directory (On-Premises AD), который годами служил основой управления доступом, теперь тесно переплетен с облачными сервисами Microsoft 365 через службу синхронизации Azure AD Connect (в актуальной номенклатуре — Microsoft Entra Connect). Эта архитектура, призванная обеспечить удобство единого входа (SSO) и бесшовную работу пользователей, непреднамеренно создает колоссальную поверхность для атаки. Мы имеем дело с классической проблемой «самого слабого звена», но возведенной в квадрат: компрометация одной среды автоматически открывает скоростную магистраль к другой. Представьте себе укрепленный замок с двумя воротами — парадными и служебными. Если атакующий взломает любые из них, он получает контроль над всей цитаделью. Именно так функционирует гибридная среда в глазах профес
Оглавление
Атакуем гибридную среду: как уязвимости в локальном Active Directory приводят к компрометации облака Microsoft 365 (и наоборот)
Атакуем гибридную среду: как уязвимости в локальном Active Directory приводят к компрометации облака Microsoft 365 (и наоборот)

Двусторонняя угроза гибридной инфраструктуры

В современном цифровом ландшафте, особенно среди белорусских компаний корпоративного сектора, гибридная модель инфраструктуры стала стандартом де-факто. Локальный Active Directory (On-Premises AD), который годами служил основой управления доступом, теперь тесно переплетен с облачными сервисами Microsoft 365 через службу синхронизации Azure AD Connect (в актуальной номенклатуре — Microsoft Entra Connect).

Эта архитектура, призванная обеспечить удобство единого входа (SSO) и бесшовную работу пользователей, непреднамеренно создает колоссальную поверхность для атаки. Мы имеем дело с классической проблемой «самого слабого звена», но возведенной в квадрат: компрометация одной среды автоматически открывает скоростную магистраль к другой. Представьте себе укрепленный замок с двумя воротами — парадными и служебными. Если атакующий взломает любые из них, он получает контроль над всей цитаделью. Именно так функционирует гибридная среда в глазах профессиональных киберпреступников и APT-группировок.

Согласно последним отчетам по информационной безопасности за 2024–2025 годы, гибридные среды стали приоритетной целью №1 для операторов программ-вымогателей и государственного кибершпионажа. Причина проста: они объединяют в себе наследие уязвимостей традиционных локальных сетей (NTLM, Kerberos) с рисками облачных платформ (OAuth, Misconfigurations). Инциденты последних лет наглядно продемонстрировали, что захват сервера Azure AD Connect позволяет злоумышленнику получить полный контроль над облачным тенантом организации за считанные минуты, обходя многие стандартные средства защиты.

Три понятные аналогии для описания вектора атаки

Чтобы лучше понимать технические риски, полезно визуализировать проблему через аналогии, понятные даже топ-менеджменту.

Аналогия 1: Мост между двумя островами

Представьте вашу инфраструктуру как два острова. Остров А — это ваша локальная сеть, защищенная фаерволами и физической охраной. Остров Б — это облако Microsoft 365. Azure AD Connect — это единственный мост, соединяющий их. Проблема в том, что трафик по этому мосту движется в обе стороны. Когда «пограничники» на острове А (локальные админы) теряют бдительность, злоумышленник беспрепятственно проходит по мосту на остров Б. И наоборот: если на острове Б украден пропуск высокого уровня, по этому же мосту можно вернуться и захватить власть на острове А. Мост построен для логистики, но в условиях кибервойны он становится главным путем вторжения.

Аналогия 2: Мастер-связка ключей

С технической точки зрения Azure AD Connect работает как доверенная связка ключей. Этот сервер хранит учетные данные, которые открывают двери и в локальном домене, и в облачном тенанте. Когда злоумышленник компрометирует этот сервер, он не просто взламывает один компьютер — он крадет связку ключей от всего здания. Хуже того, на некоторых из этих ключей невидимыми чернилами написано «Глобальный Администратор», что дает неограниченную власть над всеми цифровыми активами компании.

Аналогия 3: Банковский сейф с синхронизированными замками

Гибридная среда напоминает банковское хранилище, где состояние замков синхронизировано. Если вы открыли дверь в одном отделении банка (локально), система может автоматически разблокировать сейф в центральном офисе (облако), полагая, что операция легитимна. Злоумышленник, получивший контроль над механизмом синхронизации (сервером AD Connect), может имитировать открытие замков в любое время. Более того, он может создать дубликаты ключей, о существовании которых служба безопасности даже не узнает, и возвращаться в хранилище снова и снова.

Сценарий 1: Эскалация снизу вверх — от локального AD Connect к Global Admin

Анатомия атаки через сервер синхронизации

Сервер Azure AD Connect является, пожалуй, самой критической точкой отказа в безопасности гибридной инфраструктуры. Его задача — репликация объектов (пользователей, групп, хешей паролей) из локального AD в Microsoft Entra ID. Для реализации этой функциональности серверу требуются две учетные записи с экстраординарными привилегиями:

  • AD DS Connector Account: Учетная запись в локальном AD, которая, как правило, обладает правами репликации изменений каталога (Replicating Directory Changes All). Это позволяет ей читать хеши паролей любых пользователей, включая администраторов домена (техника DCSync).
  • Azure AD Connector Account: Служебная учетная запись в облаке с ролью Directory Synchronization Accounts. Несмотря на то, что это не прямой Global Admin, её привилегии позволяют манипулировать объектами в облаке.

Злоумышленник, получивший права локального администратора на сервере AD Connect (через фишинг админа, эксплуатацию уязвимости ОС или латеральное движение), получает доступ к локальной базе данных SQL (LocalDB), где хранятся зашифрованные учетные данные этих сервисных аккаунтов. Используя инструментарий типа AADInternals, атакующий может расшифровать эти данные.

Пример команды PowerShell, используемой атакующими на скомпрометированном сервере:

Import-Module AADInternals
Get-AADIntSyncCredentials

Эта простая команда возвращает злоумышленнику ключи от обоих царств:

  • Учетные данные для локального AD (позволяющие выполнить атаку DCSync и получить хеш пароля KRBTGT).
  • Учетные данные для Azure AD (позволяющие управлять облачными объектами).

Путь к абсолютному господству: Эскалация до Global Administrator

Многие администраторы ошибочно полагают, что учетная запись синхронизации в облаке ограничена. Однако, обладая её кредешиалами, атакующий может эксплуатировать механизм управления ролями. Учетная запись синхронизации имеет разрешения:

  • directory/servicePrincipals/create (создание сервисных принципалов).
  • owners/update (назначение владельцев).
  • directory/servicePrincipals/appRoleAssignedTo/update (назначение ролей приложениям).

Атака развивается следующим образом:

  • Атакующий создает нового сервисного принципала или находит существующего с высокими привилегиями.
  • Назначает себя владельцем этого приложения.
  • Добавляет новый секрет (client secret) к этому принципалу.
  • Использует полученные права для добавления своей (или новой) учетной записи в роль Global Administrator.

Критическая особенность этого метода — скрытность. Процесс не требует сброса паролей существующих администраторов, часто обходит базовые настройки MFA (так как атака идет через API от имени доверенного сервиса) и может оставаться незамеченным без глубокого аудита логов.

Угроза 2025 года: Эксплуатация Exchange Hybrid сертификатов

Исследователь безопасности Дирк-ян Моллема в 2024–2025 годах привлек внимание к еще более опасному вектору, связанному с гибридными развертываниями Exchange. В такой конфигурации локальный Exchange сервер хранит сертификаты OAuth для аутентификации в Exchange Online.

Если атакующий извлекает эти сертификаты, он может запрашивать S2S (Service-to-Service) actor tokens у службы Microsoft Access Control Service (ACS). Риски здесь катастрофические:

  • Токены могут предоставлять права уровня Global Administrator.
  • Выдача и использование токенов практически не оставляют следов в стандартных журналах аудита.
  • Политики условного доступа (Conditional Access) часто игнорируют эти сервисные взаимодействия.
  • При включенном атрибуте trustedfordelegation токены действуют длительное время.

Хотя Microsoft планирует принудительные архитектурные изменения к концу 2025 года, на данный момент тысячи организаций остаются уязвимыми к этой технике персистентности (закрепления) в системе.

Сценарий 2: Эскалация сверху вниз — от облака к локальной сети

Атака Pass-the-PRT: Обход современной защиты

Многие полагают, что если облако защищено MFA, то локальная сеть в безопасности. Это заблуждение. Ключевым элементом здесь является Primary Refresh Token (PRT). Это артефакт аутентификации, который выдается устройствам, имеющим статус Hybrid Azure AD Joined или Entra Joined. PRT обеспечивает тот самый бесшовный SSO, который так любят пользователи.

Сценарий атаки:

  • Компрометация: Злоумышленник получает доступ к рабочей станции пользователя (например, через вредоносное вложение).
  • Извлечение: С помощью инструментов вроде Mimikatz или ROADTools, атакующий извлекает PRT из памяти процесса LSASS или TPM-чипа (используя техники перехвата сессии).
  • Инъекция: PRT используется для генерации веб-куки, которые импортируются в браузер атакующего.
  • Результат: Атакующий получает доступ к порталу Azure/Office 365 от имени пользователя без прохождения MFA. В токене PRT уже содержится "claim" (метка) о том, что многофакторная аутентификация была пройдена.

Если скомпрометированный пользователь имеет права администратора в облаке, атакующий может использовать функции "write-back" (обратной записи) или инструменты управления устройствами (Intune) для выполнения команд на локальных серверах, замыкая круг атаки.

Продолжение на сайте redsec.by >>>