Explorando Movimento Lateral no AD e Entra ID

19 de agosto de 2025 Daniel Donda Sem categoria 0

Durante a DEFCON 33 tive a oportunidade de acompanhar a talk do pesquisador Dirk-jan Mollema, ele [e conhecido por ser o criador de diversas ferramentas, inclusive a “Bloodhound” no qual eu tenho alguns artigos aqui no site. A talk dele foi a “Advanced Active Directory to Entra ID Lateral Movement Techniques” onde ele mostrou como ambientes híbridos ainda escondem riscos que podem ser explorados por atacantes. Neste artigo compartilho os principais pontos que me chamaram atenção e como podemos usar esse conhecimento para fortalecer nossa defesa.

Muitas organizações utilizam o modelo híbrido: AD on-premises conectado ao Entra ID (antigo Azure AD). Isso amplia a superfície de ataque, pois o que acontece no ambiente local pode ser usado como trampolim para comprometer identidades e serviços na nuvem.

Técnicas que mais me chamaram atenção

  • Golden SAML (AD FS Compromise)
    Comprometendo o AD FS, um atacante pode forjar tokens SAML válidos. Isso não só dá acesso à nuvem, como também permite ignorar MFA, dependendo da configuração.
  • Seamless SSO Abuse
    Usando o Seamless SSO, é possível forjar tickets Kerberos (silver tickets), imitando usuários legítimos e movimentando-se lateralmente sem levantar suspeitas imediatas.
  • Soft Matching para takeover de contas
    Criando um usuário on-prem com o mesmo userPrincipalName de uma conta já existente na nuvem, o atacante consegue “fundir” as contas e assumir identidades. A Microsoft corrigiu isso para administradores globais, mas ainda existe risco para roles elegíveis.
  • Backdoors em Seamless SSO
    Inserindo chaves próprias no domínio .onmicrosoft.com, atacantes conseguem autenticar como qualquer usuário sincronizado.
  • EAM MFA Bypass
    Manipulando políticas de autenticação, é possível registrar novos métodos e burlar o MFA. É uma forma de persistência invisível.
  • Exchange Online em “God Mode”
    Para mim, esse foi o ponto mais impactante: o Exchange Online pode gerar tokens de serviço (S2S) não assinados, válidos por 24 horas, que permitem impersonar qualquer usuário sem logs, sem revogação e sem checagens de segurança. Em outras palavras, um verdadeiro god-mode dentro do tenant.

Mesmo com avanços da Microsoft, existem caminhos para explorar brechas e manter acesso de forma persistente.

Como podemos nos defender

Alguns pontos práticos

  • Bloquear ou restringir soft matching no Entra ID.
  • Monitorar atentamente o AD FS e aplicar mitigação para MFA claims.
  • Revisar configurações de Seamless SSO e evitar permissões excessivas.
  • Criar alertas de detecção para tokens e acessos anômalos no Exchange Online.
  • Repensar a dependência de configurações híbridas mal segmentadas.

Conclusão

A talk Dirk-jan Mollema foi realmente bem técnica, e nos servirá para tomar decisões e fazer configurações de forma mais atenta.

Referências e Links

Golden SAML (AD FS Compromise)

Seamless SSO Abuse (Kerberos Tickets)

Soft Matching (Takeover de Contas Cloud-to-Hybrid)

Seamless SSO Backdoor Keys & MFA Bypass

Exchange Online “God Mode” (S2S Tokens)

Recursos Gerais e Complementares

Anúncio

Sobre Daniel Donda 584 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais
Website Facebook Instagram Twitter YouTube Linkedin

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*