Los vectores de ataque sofisticados presentaron que explotar los entornos de ID de ID de Microsoft Active Directory y Microsoft, que demuestran cómo los atacantes pueden lograr un compromiso de inquilino completo a través de técnicas de movimiento laterales previamente desconocidas.
Estos métodos, presentados en Black Hat USA 2025, exponen vulnerabilidades críticas en la infraestructura de autenticación de Microsoft que permiten el acceso no autorizado para intercambiar en línea, SharePoint y Entrra Id sin barreras de autenticación tradicionales.
Control de llave
1. Inyectar claves en OnPremuthenticationFlowPolicy para forjar boletos de Kerberos, sin pasar por MFA sin ser detectados.
2. Exchange Hybrid Certs generan tokens S2s con acceso de administrador global sin registros de auditoría.
3. Microsoft bloqueó algunos abusos (agosto de 2025), Exchange/SharePoint aún vulnerable.
Manipulación de teclas SSO sin interrupciones
Según Blackhat de Dirk-Jan Mollema presentaciónLos atacantes con control de Active Directory en las instalaciones pueden manipular configuraciones de inicio de sesión único (SSO) sin problemas para forjar boletos de servicio Kerberos para cualquier usuario en el inquilino.
Al agregar claves de puerta trasera a la OnPremauthenticationFlowPolicy, los actores de amenaza pueden crear mecanismos de acceso persistentes que eviten los requisitos de autenticación multifactor.
La técnica implica inyectar claves simétricas personalizadas con identificadores como 13371337-AB99-4D21-9C03-ED4789511D01 en la matriz de información de claves de la política, permitiendo la generación de boletos de Kerberos cifrado RC4 para cualquier usuario de dominio.
Forjando boletos de Kerberos
Particularmente preocupante es la capacidad de aprovisionar estas claves de puerta trasera en los dominios .onmicrosoft.com, que paradójicamente funciona a pesar de la inconsistencia lógica.
El ataque aprovecha el reclamo Trustedfordelegation en los tokens JWT, lo que permite suplantación de cualquier cuenta de usuario híbrido. Los registros de auditoría de Microsoft no proporcionan visibilidad sobre estas modificaciones, lo que hace que la detección sea extremadamente desafiante para los equipos de seguridad.
Certificados híbridos de intercambio
El vector de ataque más devastador explota las implementaciones híbridas de intercambio a través del abuso de autenticación basado en certificados.
Los atacantes pueden extraer certificados híbridos de intercambio de servidores locales que utilizan herramientas como AdsyncCertdump.exe y aprovecharlos para solicitar tokens de actores de servicio de servicio (S2S) del Servicio de Control de Acceso (ACS) de Microsoft.
Estos tokens de portador sin firmar, que contiene el identificador principal de servicio 00000002-0000-0FF1-CE00-00000000000000, proporcionan acceso sin restricciones a Exchange Online y SharePoint sin la validación del contexto del usuario.
Los tokens S2S explotan la propiedad de Fideedfordelegation, permitiendo a los atacantes hacer pasar por un usuario dentro del inquilino durante períodos de 24 horas.
Críticamente, estos tokens no generan registros de auditoría durante la emisión o uso, operan sin la aplicación de la política de acceso condicional y siguen siendo no revocables una vez emitidos.
La cadena de ataque implica solicitar tokens de actores para los puntos finales de Graph.Windows.Net, otorgando efectivamente los privilegios de administrador global en todo el entorno Microsoft 365.
Mitigaciones
Microsoft ha reconocido estas vulnerabilidades e implementó mitigaciones parciales, incluido el bloqueo de abuso de tokens S2S para las credenciales principales del servicio de terceros a partir de agosto de 2025.
Sin embargo, las capacidades de suplantación de intercambio y SharePoint siguen siendo funcionales, lo que plantea riesgos continuos para las implementaciones híbridas.
La Compañía planea hacer cumplir la separación obligatoria del intercambio en las instalaciones y los directores de servicio en línea de intercambio en octubre de 2025.
Las organizaciones deben auditar inmediatamente sus configuraciones híbridas de Exchange utilizando consultas de detección como AuditLogs | donde inició.user.displayname == “Office 365 Exchange en línea” para identificar actividades sospechosas.
Las medidas de protección adicionales incluyen habilitar la coincidencia dura en la identificación de Entra ID para prevenir las adquisiciones de cuenta solo en la nube e implementar el principio de menor privilegio para las cuentas de sincronización de directorio.
Los equipos de seguridad también deben monitorear modificaciones no autorizadas a las políticas de autenticación y considerar la transición a aplicaciones híbridas de intercambio dedicadas para limitar la exposición a la superficie del ataque.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
