Các nhà nghiên cứu bảo mật đã phát hiện một kỹ thuật tấn công mới, khai thác các điểm yếu trong môi trường Active Directory (AD) và Entra ID lai, nhằm vượt qua xác thực và làm rò rỉ dữ liệu nhạy cảm. Phương pháp này, được chuyên gia an ninh mạng Dirk-jan Mollema trình bày tại Black Hat USA 2025, nhắm mục tiêu vào các tổ chức đồng bộ hóa AD tại chỗ với Azure Entra ID, tận dụng thông tin xác thực đồng bộ hóa bị xâm phạm để chiếm quyền điều khiển hoàn toàn.

Kỹ thuật Xâm nhập Mạng Hybrid Active Directory và Entra ID

Trọng tâm của cuộc tấn công là dịch vụ Microsoft Entra Connect. Dịch vụ này được các doanh nghiệp sử dụng để nhân bản tài khoản người dùng và thông tin xác thực từ AD tại chỗ sang Entra ID.

Bằng cách kiểm soát máy chủ đồng bộ hóa Entra Connect thông qua di chuyển ngang hoặc công cụ trích xuất thông tin xác thực, kẻ tấn công có thể trích xuất cả chứng chỉ và khóa riêng của dịch vụ đồng bộ hóa.

Với các khóa này, kẻ tấn công có thể tạo ra các mã thông báo xác thực hợp lệ. Điều này cho phép chúng giả mạo các xác nhận danh tính được Entra ID chấp nhận mà không kích hoạt xác thực đa yếu tố (MFA) hoặc chính sách truy cập có điều kiện.

Giả mạo Mã thông báo và Leo thang Đặc quyền

Khi kẻ tấn công sở hữu các mã thông báo giả mạo, chúng có thể mạo danh bất kỳ người dùng lai nào trong hệ thống. Điều này bao gồm cả tài khoản được đồng bộ hóa từ AD hay tài khoản “chỉ trên đám mây” (cloud-only).

Quyền truy cập này cấp cho chúng đầy đủ đặc quyền đọc và ghi đối với các đối tượng thư mục, bao gồm cả các vai trò đặc quyền.

Trong bản trình diễn của Mollema, kẻ tấn công đã chuyển đổi một người dùng đám mây có đặc quyền thấp thành tài khoản lai được đồng bộ hóa thông qua kỹ thuật “soft matching”. Nhờ đó, chúng kế thừa quyền quản trị nâng cao và tránh được các cơ chế phát hiện. Kỹ thuật này giúp chiếm quyền điều khiển hệ thống một cách hiệu quả.

Khai thác Cấu hình Exchange Hybrid và Rò rỉ Dữ liệu

Kỹ thuật này không chỉ giới hạn ở quyền truy cập thư mục. Bằng cách lạm dụng các cấu hình Exchange Hybrid, kẻ tấn công có thể yêu cầu các mã thông báo Service-to-Service (S2S) mang các yêu cầu “trustedForDelegation”.

Điều này cho phép chúng mạo danh bất kỳ hộp thư nào trong Exchange Online và có khả năng đánh cắp email, tài liệu cũng như các tạo phẩm cộng tác. Mục tiêu cuối cùng là đánh cắp dữ liệu nhạy cảm.

Vì các mã thông báo S2S không được ký và có giá trị trong 24 giờ nên không có nhật ký nào được tạo ra trong quá trình cấp hoặc sử dụng. Điều này khiến các nhóm an ninh mạng không thể phát hiện sự xâm nhập.

Thao túng Chính sách API và Duy trì Quyền Truy cập

Để tăng cường mối đe dọa, Mollema đã trình bày cách kẻ tấn công có thể thao túng các chính sách Graph API, chẳng hạn như Conditional Access và External Authentication Methods.

Điều này cho phép chúng chèn thông tin xác thực backdoor hoặc vô hiệu hóa các điều khiển thực thi. Các khóa Seamless Single Sign-On (SSO), được sử dụng cho xác thực Kerberos liền mạch, có thể bị chèn hoặc xoay vòng bằng các khóa do kẻ tấn công kiểm soát.

Cung cấp quyền truy cập từ xa liên tục, tồn tại ngay cả khi các khóa được thay đổi. Điều này giúp kẻ tấn công duy trì chiếm quyền điều khiển hệ thống trong thời gian dài.

Các Biện pháp Giảm thiểu và Khuyến nghị An ninh Mạng

Microsoft đã giải quyết một số đường dẫn tấn công dựa trên Entra Connect trong các bản vá gần đây. Các bản vá này đã thu hồi các quyền Graph API không cần thiết từ tài khoản đồng bộ hóa và tăng cường các biện pháp bảo vệ “soft matching” cho quản trị viên toàn cầu.

Tuy nhiên, nhiều môi trường doanh nghiệp vẫn dễ bị tổn thương cho đến khi các dịch vụ Exchange Hybrid và Entra được phân tách hoàn toàn. Đây là một biện pháp giảm thiểu mà Microsoft có kế hoạch bắt buộc vào tháng 10 năm 2025.

Các tổ chức được khuyến nghị kiểm tra các máy chủ đồng bộ hóa của họ để phát hiện các xuất chứng chỉ trái phép. Đồng thời, cần thực thi lưu trữ khóa bằng phần cứng và giám sát các cuộc gọi Graph API bất thường.

Việc bật tính năng phân chia ứng dụng Exchange hybrid, thường xuyên xoay vòng các khóa SSO và hạn chế quyền Directory.ReadWrite.All trên các dịch vụ chính có thể giảm thiểu rủi ro hơn nữa.

Khi triển khai nhận dạng lai ngày càng phổ biến, các nhóm an ninh mạng phải áp dụng tư thế không tin cậy (zero-trust). Cần giả định rằng các dịch vụ đồng bộ hóa có thể bị xâm nhập mạng bất cứ lúc nào. Luôn cảnh giác là chìa khóa để bảo vệ hệ thống và tránh bị chiếm quyền điều khiển.