Se han revelado vulnerabilidades críticas que exponen los entornos híbridos de Active Directory y Microsoft Entra ID, permitiendo a los atacantes comprometer por completo los inquilinos. Estos sofisticados métodos de movimiento lateral, presentados en la conferencia Black Hat USA 2025, demuestran cómo se puede obtener acceso no autorizado a Exchange Online, SharePoint y Entra ID sin las barreras de autenticación habituales.
Manipulación de Claves de Inicio de Sesión Único (SSO)
Según la presentación de Dirk-Jan Mollema, los atacantes que logran controlar el Active Directory local pueden manipular de manera sutil las configuraciones de SSO. Esta técnica les permite falsificar tickets de servicio Kerberos para cualquier usuario del inquilino.
El ataque se basa en agregar claves de acceso ocultas en la política OnPremAuthenticationFlowPolicy del Active Directory. Al inyectar una clave simétrica personalizada, como «13371337-ab99-4d21-9c03-ed4789511d01», en la matriz KeysInformation, los atacantes pueden generar tickets Kerberos cifrados con RC4 para cualquier usuario del dominio, evadiendo la autenticación multifactor y creando un acceso persistente.
Lo más alarmante es que estos ataques pueden incluso realizarse en dominios .onmicrosoft.com, una inconsistencia lógica que ha sido aprovechada. El método se basa en la confianza de delegación en los tokens JWT para suplantar cualquier cuenta de usuario híbrida. Además, las modificaciones no se registran en los sistemas de auditoría de Microsoft, lo que hace que la detección sea extremadamente difícil para los equipos de seguridad.
Abuso de Certificados Híbridos de Exchange
Otro vector de ataque aún más peligroso explota las implementaciones híbridas de Exchange. Los atacantes pueden extraer certificados híbridos de los servidores locales con herramientas como ADSyncCertDump.exe y utilizarlos para solicitar tokens de actor service-to-service (S2S) al Servicio de Control de Acceso (ACS) de Microsoft.
Estos tokens S2S no están firmados y otorgan acceso ilimitado a Exchange Online y SharePoint sin validar el contexto del usuario. Utilizan la propiedad de confianza para delegar, permitiendo a los atacantes suplantar a cualquier usuario dentro del inquilino durante 24 horas. Estos tokens no generan registros de auditoría, no aplican políticas de acceso condicional y no pueden ser revocados una vez emitidos, lo que los convierte en una amenaza persistente y silenciosa. La cadena de ataque culmina con la obtención de privilegios de administrador global en todo el entorno de Microsoft 365.
Medidas de Mitigación y Recomendaciones
Microsoft ha reconocido estas vulnerabilidades y ha implementado mitigaciones parciales, como el bloqueo del abuso de tokens S2S para las credenciales principales de servicio a partir de agosto de 2025. Sin embargo, las capacidades de suplantación en Exchange y SharePoint siguen activas, por lo que la compañía planea separar obligatoriamente los principios de servicio de Exchange local y en línea para octubre de 2025.
Se recomienda encarecidamente que las organizaciones tomen medidas inmediatas:
- Auditar las configuraciones híbridas de Exchange en busca de actividad sospechosa.
- Habilitar la coincidencia estricta en Entra ID Connect para prevenir la apropiación de cuentas en la nube.
- Implementar el principio de privilegio mínimo para las cuentas de sincronización de directorios.
- Monitorear cualquier modificación no autorizada de las políticas de autenticación.
- Considerar la transición a aplicaciones dedicadas para los entornos híbridos de Exchange a fin de reducir la superficie de ataque.
Estas vulnerabilidades resaltan la necesidad de que las organizaciones fortalezcan sus defensas y adopten un enfoque proactivo para la seguridad de sus entornos híbridos.
