Двусторонняя угроза гибридной инфраструктуры
В современном цифровом ландшафте, особенно среди белорусских компаний корпоративного сектора, гибридная модель инфраструктуры стала стандартом де-факто. Локальный Active Directory (On-Premises AD), который годами служил основой управления доступом, теперь тесно переплетен с облачными сервисами Microsoft 365 через службу синхронизации Azure AD Connect (в актуальной номенклатуре — Microsoft Entra Connect).
Эта архитектура, призванная обеспечить удобство единого входа (SSO) и бесшовную работу пользователей, непреднамеренно создает колоссальную поверхность для атаки. Мы имеем дело с классической проблемой «самого слабого звена», но возведенной в квадрат: компрометация одной среды автоматически открывает скоростную магистраль к другой. Представьте себе укрепленный замок с двумя воротами — парадными и служебными. Если атакующий взломает любые из них, он получает контроль над всей цитаделью. Именно так функционирует гибридная среда в глазах профессиональных киберпреступников и APT-группировок.
Согласно последним отчетам по информационной безопасности за 2024–2025 годы, гибридные среды стали приоритетной целью №1 для операторов программ-вымогателей и государственного кибершпионажа. Причина проста: они объединяют в себе наследие уязвимостей традиционных локальных сетей (NTLM, Kerberos) с рисками облачных платформ (OAuth, Misconfigurations). Инциденты последних лет наглядно продемонстрировали, что захват сервера Azure AD Connect позволяет злоумышленнику получить полный контроль над облачным тенантом организации за считанные минуты, обходя многие стандартные средства защиты.
Три понятные аналогии для описания вектора атаки
Чтобы лучше понимать технические риски, полезно визуализировать проблему через аналогии, понятные даже топ-менеджменту.
Аналогия 1: Мост между двумя островами
Представьте вашу инфраструктуру как два острова. Остров А — это ваша локальная сеть, защищенная фаерволами и физической охраной. Остров Б — это облако Microsoft 365. Azure AD Connect — это единственный мост, соединяющий их. Проблема в том, что трафик по этому мосту движется в обе стороны. Когда «пограничники» на острове А (локальные админы) теряют бдительность, злоумышленник беспрепятственно проходит по мосту на остров Б. И наоборот: если на острове Б украден пропуск высокого уровня, по этому же мосту можно вернуться и захватить власть на острове А. Мост построен для логистики, но в условиях кибервойны он становится главным путем вторжения.
Аналогия 2: Мастер-связка ключей
С технической точки зрения Azure AD Connect работает как доверенная связка ключей. Этот сервер хранит учетные данные, которые открывают двери и в локальном домене, и в облачном тенанте. Когда злоумышленник компрометирует этот сервер, он не просто взламывает один компьютер — он крадет связку ключей от всего здания. Хуже того, на некоторых из этих ключей невидимыми чернилами написано «Глобальный Администратор», что дает неограниченную власть над всеми цифровыми активами компании.
Аналогия 3: Банковский сейф с синхронизированными замками
Гибридная среда напоминает банковское хранилище, где состояние замков синхронизировано. Если вы открыли дверь в одном отделении банка (локально), система может автоматически разблокировать сейф в центральном офисе (облако), полагая, что операция легитимна. Злоумышленник, получивший контроль над механизмом синхронизации (сервером AD Connect), может имитировать открытие замков в любое время. Более того, он может создать дубликаты ключей, о существовании которых служба безопасности даже не узнает, и возвращаться в хранилище снова и снова.
Сценарий 1: Эскалация снизу вверх — от локального AD Connect к Global Admin
Анатомия атаки через сервер синхронизации
Сервер Azure AD Connect является, пожалуй, самой критической точкой отказа в безопасности гибридной инфраструктуры. Его задача — репликация объектов (пользователей, групп, хешей паролей) из локального AD в Microsoft Entra ID. Для реализации этой функциональности серверу требуются две учетные записи с экстраординарными привилегиями:
- AD DS Connector Account: Учетная запись в локальном AD, которая, как правило, обладает правами репликации изменений каталога (Replicating Directory Changes All). Это позволяет ей читать хеши паролей любых пользователей, включая администраторов домена (техника DCSync).
- Azure AD Connector Account: Служебная учетная запись в облаке с ролью Directory Synchronization Accounts. Несмотря на то, что это не прямой Global Admin, её привилегии позволяют манипулировать объектами в облаке.
Злоумышленник, получивший права локального администратора на сервере AD Connect (через фишинг админа, эксплуатацию уязвимости ОС или латеральное движение), получает доступ к локальной базе данных SQL (LocalDB), где хранятся зашифрованные учетные данные этих сервисных аккаунтов. Используя инструментарий типа AADInternals, атакующий может расшифровать эти данные.
Пример команды PowerShell, используемой атакующими на скомпрометированном сервере:
Import-Module AADInternals
Get-AADIntSyncCredentialsЭта простая команда возвращает злоумышленнику ключи от обоих царств:
- Учетные данные для локального AD (позволяющие выполнить атаку DCSync и получить хеш пароля KRBTGT).
- Учетные данные для Azure AD (позволяющие управлять облачными объектами).
Путь к абсолютному господству: Эскалация до Global Administrator
Многие администраторы ошибочно полагают, что учетная запись синхронизации в облаке ограничена. Однако, обладая её кредешиалами, атакующий может эксплуатировать механизм управления ролями. Учетная запись синхронизации имеет разрешения:
- directory/servicePrincipals/create (создание сервисных принципалов).
- owners/update (назначение владельцев).
- directory/servicePrincipals/appRoleAssignedTo/update (назначение ролей приложениям).
Атака развивается следующим образом:
- Атакующий создает нового сервисного принципала или находит существующего с высокими привилегиями.
- Назначает себя владельцем этого приложения.
- Добавляет новый секрет (client secret) к этому принципалу.
- Использует полученные права для добавления своей (или новой) учетной записи в роль Global Administrator.
Критическая особенность этого метода — скрытность. Процесс не требует сброса паролей существующих администраторов, часто обходит базовые настройки MFA (так как атака идет через API от имени доверенного сервиса) и может оставаться незамеченным без глубокого аудита логов.
Угроза 2025 года: Эксплуатация Exchange Hybrid сертификатов
Исследователь безопасности Дирк-ян Моллема в 2024–2025 годах привлек внимание к еще более опасному вектору, связанному с гибридными развертываниями Exchange. В такой конфигурации локальный Exchange сервер хранит сертификаты OAuth для аутентификации в Exchange Online.
Если атакующий извлекает эти сертификаты, он может запрашивать S2S (Service-to-Service) actor tokens у службы Microsoft Access Control Service (ACS). Риски здесь катастрофические:
- Токены могут предоставлять права уровня Global Administrator.
- Выдача и использование токенов практически не оставляют следов в стандартных журналах аудита.
- Политики условного доступа (Conditional Access) часто игнорируют эти сервисные взаимодействия.
- При включенном атрибуте trustedfordelegation токены действуют длительное время.
Хотя Microsoft планирует принудительные архитектурные изменения к концу 2025 года, на данный момент тысячи организаций остаются уязвимыми к этой технике персистентности (закрепления) в системе.
Сценарий 2: Эскалация сверху вниз — от облака к локальной сети
Атака Pass-the-PRT: Обход современной защиты
Многие полагают, что если облако защищено MFA, то локальная сеть в безопасности. Это заблуждение. Ключевым элементом здесь является Primary Refresh Token (PRT). Это артефакт аутентификации, который выдается устройствам, имеющим статус Hybrid Azure AD Joined или Entra Joined. PRT обеспечивает тот самый бесшовный SSO, который так любят пользователи.
Сценарий атаки:
- Компрометация: Злоумышленник получает доступ к рабочей станции пользователя (например, через вредоносное вложение).
- Извлечение: С помощью инструментов вроде Mimikatz или ROADTools, атакующий извлекает PRT из памяти процесса LSASS или TPM-чипа (используя техники перехвата сессии).
- Инъекция: PRT используется для генерации веб-куки, которые импортируются в браузер атакующего.
- Результат: Атакующий получает доступ к порталу Azure/Office 365 от имени пользователя без прохождения MFA. В токене PRT уже содержится "claim" (метка) о том, что многофакторная аутентификация была пройдена.
Если скомпрометированный пользователь имеет права администратора в облаке, атакующий может использовать функции "write-back" (обратной записи) или инструменты управления устройствами (Intune) для выполнения команд на локальных серверах, замыкая круг атаки.
Злоупотребление Seamless SSO и уязвимость AZUREADSSOACC
Функция Seamless Single Sign-On создает в локальном AD компьютерную учетную запись AZUREADSSOACC$. Пароль (точнее, NTLM-хеш) этой учетной записи известен и локальному AD, и облаку Entra ID. Она используется для создания Kerberos-билетов, подтверждающих личность пользователя при входе в облако.
Вектор атаки ("Silver Ticket" для облака):
- Атакующий с правами администратора домена (или скомпрометировавший аккаунт с правами делегирования) выгружает NTLM-хеш учетной записи AZUREADSSOACC$ через атаку DCSync.
- Имея этот хеш, злоумышленник может генерировать (подделывать) Kerberos-билеты для любого пользователя, синхронизированного с этим тенантом.
- Атакующий может войти в облако под видом Глобального Администратора (если такой пользователь синхронизирован), даже не зная его реального пароля.
- Поскольку билет подделан корректно, облако считает, что пользователь прошел аутентификацию из корпоративной сети, что часто позволяет обойти требования MFA.
Этот метод особенно коварен тем, что не требует компрометации самого сервера AD Connect — достаточно привилегий в локальном домене.
Опасность OAuth токенов для латерального движения
В облачных атаках токены OAuth (Access и Refresh tokens) стали новым "золотом". В отличие от паролей, которые пользователи меняют, токены могут жить долго.
- Украденный Refresh Token (срок жизни до 90 дней) позволяет злоумышленнику генерировать новые токены доступа.
- Даже если пользователь сменит пароль, в некоторых конфигурациях старые токены могут оставаться валидными до момента их явного отзыва (Revocation).
- С помощью токенов атакующие могут перемещаться между приложениями (SharePoint, Teams, Outlook) и выгружать конфиденциальные данные, оставаясь невидимыми для систем обнаружения аномалий паролей.
Сценарий 3: Хроники реальных инцидентов
Случай 1: Классический пентест от RBT Security
В одном из публично задокументированных кейсов команда Red Team продемонстрировала пугающую эффективность гибридных атак. Начав с фишингового письма рядовому бухгалтеру, они:
- Эскалировали привилегии на локальной машине.
- Перехватили сессию зашедшего администратора техподдержки.
- Через него добрались до контроллера домена.
- Обнаружили сервер AD Connect, который администрировался без должной сегментации.
- Извлекли ключи синхронизации и получили полный контроль над почтой CEO и документами в SharePoint в облаке.
Весь путь от клика по ссылке до полного контроля занял менее 4 дней.
Случай 2: Уроки SolarWinds и Golden SAML
Атака на SolarWinds показала миру технику Golden SAML. Хакеры взломали локальный сервер AD FS (Active Directory Federation Services), украли сертификат подписи токенов и приватный ключ. Это позволило им генерировать валидные SAML-токены для любых пользователей, включая администраторов, для доступа к облачным ресурсам. Особенность атаки в том, что она позволяла обходить MFA (так как токен утверждал, что MFA уже пройден) и сохранять доступ даже после смены паролей жертвами. Единственным способом остановить атаку была полная ротация доверенных сертификатов федерации.
Типичные ошибки конфигурации: Почему нас взламывают?
Опыт показывает, что большинство взломов происходит не из-за 0-day уязвимостей, а из-за банальных ошибок настройки.
- Незащищенный сервер AD Connect.
Относитесь к этому серверу как к Контроллеру Домена (Tier 0). На практике же часто встречается, что сервер AD Connect доступен для RDP-подключения обычным администраторам, не защищен физически или работает на устаревшей ОС. Если злоумышленник попадает на этот сервер — игра окончена. - Синхронизация привилегированных аккаунтов.
Грубейшая ошибка — синхронизировать учетные записи Администраторов Домена или Предприятия в облако. Это создает прямой мост. Если такую учетную запись скомпрометируют в облаке (например, через фишинг), под угрозой окажется локальный AD. Microsoft настоятельно рекомендует не синхронизировать высокопривилегированные группы. - Избыточные права учетной записи сервиса.
Аккаунт AD DS Connector часто имеет больше прав, чем нужно. Для работы ему нужны права на чтение и репликацию, но иногда ему по ошибке дают права локального админа на контроллерах домена, что недопустимо. - Дыры в условном доступе (Conditional Access).
Политики, разрешающие доступ без MFA из "доверенных IP" (корпоративной сети), являются подарком для хакеров. Как только они попадают внутрь периметра (через VPN или взломанный Wi-Fi), они автоматически обходят MFA для облачных сервисов. - Отсутствие ротации секретов.
Пароль аккаунта AZUREADSSOACC$ и сертификаты AD FS часто не меняются годами. Регламент требует их ротации минимум раз в 90 дней (для SSO) и раз в год для сертификатов, но администраторы боятся "сломать продакшн" и игнорируют это правило.
Инструментарий «Красной Команды» (Red Team)
Понимание того, чем пользуется враг, — первый шаг к защите.
- AADInternals: Швейцарский нож для атак на Entra ID и M365. Позволяет извлекать креды, создавать бэкдоры и манипулировать федерацией.
- BloodHound / AzureHound: Использует теорию графов для визуализации скрытых связей. Показывает кратчайший путь от "Пользователя А" до "Глобального Администратора", выявляя неочевидные права делегирования.
- Mimikatz: Легендарный инструмент для дампа памяти, создания Silver/Golden Tickets и DCSync атак.
- ROADTools: Фреймворк для разведки и эксплуатации Azure AD, позволяющий анализировать политики и находить слабые места в конфигурации.
Стратегия защиты: Практические рекомендации
Как превратить вашу гибридную среду из решета в крепость?
1. Харденинг сервера Azure AD Connect
- Принцип Tier 0: Изолируйте сервер так же строго, как контроллеры домена. Никакого доступа в интернет (кроме необходимых диапазонов IP Microsoft), никакого RDP для админов рабочих станций.
- Запрет локальных админов: На сервере не должно быть локальных администраторов, кроме сервисных учеток.
- Мониторинг: Включите расширенное логирование PowerShell и настройте алерты в SIEM на любые попытки экспорта конфигурации или доступа к процессу LSASS на этом сервере.
2. Санитария синхронизации
- Фильтрация OU: Исключите из синхронизации организационные единицы (OU), где находятся административные учетные записи.
- Облачные админы — только в облаке: Глобальные администраторы должны использовать "чистые", только облачные (cloud-only) учетные записи, не связанные с локальным AD.
3. Умный Условный Доступ (Conditional Access)
- MFA везде: Откажитесь от исключений для "доверенных сетей". MFA должно работать всегда.
- Phishing-Resistant MFA: Переходите на FIDO2 ключи или сертификатную аутентификацию для привилегированных пользователей. Push-уведомления в приложении уже недостаточно надежны.
- Блокировка Legacy Auth: Полностью отключите устаревшие протоколы (POP3, IMAP, SMTP), так как они не поддерживают MFA.
4. Регулярная ротация ключей
Настройте автоматизированные скрипты (Azure Automation Runbooks) для ротации ключа дешифрования Kerberos (AZUREADSSOACC$) каждые 30–90 дней.
5. Мониторинг гибридной активности
Настройте Microsoft Sentinel или другую SIEM-систему на корреляцию событий. Вы должны видеть связь между входом пользователя в локальный компьютер и последующей активностью в облаке. Аномалии, такие как "невозможное путешествие" (вход из Минска и Нью-Йорка с разницей в час) или массовая выгрузка данных после смены устройства, должны вызывать мгновенную реакцию SOC.
Гибридные среды Active Directory и Microsoft 365 предоставляют бизнесу невероятную гибкость, но требуют принципиально нового подхода к безопасности. Компрометация локальной сети сегодня означает почти мгновенную потерю облака, а потеря облака открывает двери в локальную сеть. Эпоха, когда можно было защищать только периметр, прошла безвозвратно.
Для специалистов по информационной безопасности и системных администраторов критически важно осознать: Azure AD Connect — это не просто утилита, это "Святой Грааль" вашей инфраструктуры. Только проактивный подход, включающий регулярные пентесты (Red Teaming), строгую изоляцию привилегий и непрерывный мониторинг аномалий, способен защитить организацию от современных гибридных угроз.
