Pesquisadores de segurança descobriram uma nova técnica de ataque que explora pontos fracos em ambientes híbridos do Active Directory (AD) e Entra ID para contornar a autenticação e exfiltrar dados confidenciais.
O método, Apresentou na Black Hat USA 2025 pelo especialista em segurança cibernética Dirk-jan Mollema, tem como alvo organizações que sincronizam o AD local com o Azure Entra ID, aproveitando credenciais de sincronização comprometidas para obter acesso irrestrito.
No centro do ataque está o serviço Microsoft Entra Connect, usado por empresas para replicar contas de usuário e credenciais do AD local para o Entra ID.
Ao obter o controle do servidor de sincronização do Entra Connect por meio de ferramentas de movimentação lateral ou despejo de credenciais, os invasores podem extrair o certificado do serviço de sincronização e sua chave privada.
Com essas chaves, os adversários podem gerar tokens de autenticação válidos, forjando efetivamente asserções de identidade aceitas pelo Entra ID sem acionar a autenticação multifatorial autenticação ou políticas de acesso condicional.
Depois que os invasores possuem tokens forjados, eles podem representar qualquer usuário híbrido, seja sincronizado do AD ou criado como uma conta “somente nuvem”, dentro do locatário.
Isso concede a eles privilégios completos de leitura e gravação em objetos de diretório, incluindo funções privilegiadas.
Na demonstração de Mollema, o invasor converteu um usuário de nuvem de baixo privilégio em uma conta híbrida sincronizada por meio de “correspondência suave”, herdando assim direitos administrativos elevados e evitando mecanismos de detecção.
A técnica se estende além do acesso ao diretório. Ao abusar das configurações híbridas do Exchange, os invasores podem solicitar tokens S2S (Serviço a Serviço) que carregam declarações “trustedForDelegation”, permitindo que eles representem qualquer caixa de correio no Exchange Online e potencialmente exfiltrar emails, documentos e artefatos de colaboração.
Como os tokens S2S não são assinados e são válidos por 24 horas, nenhum registro é gerado durante a emissão ou uso, deixando as equipes de segurança cegas para o comprometimento.
Para agravar a ameaça, Mollema demonstrou como os adversários podem manipular as políticas da Graph API, como Acesso Condicional e Métodos de Autenticação Externa, para inserir credenciais de backdoor ou desabilitar controles de imposição.
As chaves de logon único (SSO) contínuas, usadas para autenticação Kerberos contínua, podem ser injetadas ou alternadas com chaves controladas pelo invasor, fornecendo acesso remoto persistente que sobrevive a substituições de chave.
A Microsoft abordou vários caminhos de ataque baseados no Entra Connect em patches recentes, revogando permissões desnecessárias da API do Graph da conta de sincronização e fortalecendo as proteções de correspondência flexível para administradores globais.
No entanto, muitos ambientes corporativos permanecem vulneráveis até que os serviços híbridos Exchange e Entra sejam totalmente segregados, uma mitigação que a Microsoft planeja exigir até outubro de 2025.
As organizações são incentivadas a auditar seus servidores de sincronização em busca de exportações de certificados não autorizadas, impor o armazenamento de chaves com suporte de hardware e monitorar chamadas incomuns da Graph API.
Habilitar a divisão de aplicativos híbridos do Exchange, girar regularmente as chaves SSO e restringir as permissões Directory.ReadWrite.All nas entidades de serviço pode reduzir ainda mais o risco.
À medida que as implantações de identidade híbrida se tornam onipresentes, as equipes de segurança devem adotar uma postura de confiança zero e presumir que os serviços de sincronização podem ser comprometidos a qualquer momento.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça