Translated ['src/pentesting-cloud/azure-security/az-lateral-movement-clo

src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/README.md

@@ -4,37 +4,39 @@
 
 ## Basiese Inligting
 
-Hierdie afdeling dek die pivoting tegnieke om van 'n gekompromitteerde Entra ID tenant na die plaaslike Active Directory (AD) te beweeg, of van 'n gekompromitteerde AD na die Entra ID tenant.
+Hierdie afdeling dek die pivoting techniques om van 'n gekompromitteerde Entra ID-tenant na die on-premises Active Directory (AD) te beweeg, of van 'n gekompromitteerde AD na die Entra ID-tenant.
 
 ## Pivoting Techniques
 
-- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): As 'n aanvaller 'n AD-rekenaarrekening kan beheer of skep en toegang tot die Azure Arc GPO deployment share kry, kan hulle die gestoor Service Principal secret ontsleutel en dit gebruik om by Azure as die geassosieerde service principal te autentikeer, en sodoende die gekoppelde Azure-omgewing volledig te kompromitteer.
+- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): As 'n aanvaller 'n AD computer account kan beheer of skep en toegang tot die Azure Arc GPO deployment share het, kan hulle die gestoor Service Principal secret ontsleutel en dit gebruik om by Azure te autentiseer as die geassosieerde service principal, en sodoende die gekoppelde Azure-omgewing volledig kompromitteer.
 
-- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): Hoe om van Entra ID na AD te pivot wanneer Cloud Kerberos Trust geconfigureer is. 'n Global Admin in Entra ID (Azure AD) kan Cloud Kerberos Trust en die sync API misbruik om hoog-privilege AD-rekeninge te impersonate, hul Kerberos-kaartjies of NTLM-hashes te bekom, en die plaaslike Active Directory volledig te kompromitteer—selfs al is daardie rekeninge nooit met die cloud gesinkroniseer nie—waardeur cloud-to-AD privilege escalatie effektief oorbrug word.
+- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): How to pivot from Entra ID to AD when Cloud Kerberos Trust is configured. 'n Global Admin in Entra ID (Azure AD) kan Cloud Kerberos Trust en die sync API misbruik om hoë-privilege AD accounts te imiteer, hul Kerberos tickets of NTLM hashes te bekom, en die on-prem Active Directory volledig kompromitteer — selfs as daardie accounts nooit cloud-synced was nie — wat effektief cloud-to-AD privilege escalation oorbrug.
 
-- [**Cloud Sync**](az-cloud-sync.md): Hoe om Cloud Sync te misbruik om van die cloud na die plaaslike AD te beweeg en andersom.
+- [**Cloud Sync**](az-cloud-sync.md): Hoe om Cloud Sync te misbruik om van die cloud na on-premises AD te beweeg en andersom.
 
-- [**Connect Sync**](az-connect-sync.md): Hoe om Connect Sync te misbruik om van die cloud na die plaaslike AD te beweeg en andersom.
+- [**Connect Sync**](az-connect-sync.md): Hoe om Connect Sync te misbruik om van die cloud na on-premises AD te beweeg en andersom.
 
-- [**Domain Services**](az-domain-services.md): Wat is die Azure Domain Services Service en hoe om van Entra ID na die AD wat dit genereer te pivot.
+- [**Domain Services**](az-domain-services.md): Wat die Azure Domain Services Service is en hoe om te pivot van Entra ID na die AD wat dit genereer.
 
-- [**Federation**](az-federation.md): Hoe om Federation te misbruik om van die cloud na die plaaslike AD te beweeg en andersom.
+- [**Federation**](az-federation.md): Hoe om Federation te misbruik om van die cloud na on-premises AD te beweeg en andersom.
 
-- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): Divers aanvalle wat gebruik kan word om van die cloud na die plaaslike AD te pivot en andersom.
+- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): Verskeie attacks wat gebruik kan word om te pivot van die cloud na die on-premises AD en andersom.
 
-- [**Local Cloud Credentials**](az-local-cloud-credentials.md): Waar om credentials na die cloud te vind wanneer 'n PC gekompromitteer is.
+- [**Exchange Hybrid Impersonation (ACS Actor Tokens)**](az-exchange-hybrid-impersonation.md): Exchange Hybrid actor-token internals, gepatchte vs steeds-relevante abuse paths, en hoe om residuele risiko na service-principal split migrations te assesseer.
 
-- [**Pass the Certificate**](az-pass-the-certificate.md): Genereer 'n cert gebaseer op die PRT om vanaf een masjien na 'n ander aan te meld.
+- [**Local Cloud Credentials**](az-local-cloud-credentials.md): Waar om credentials vir die cloud te vind wanneer 'n PC gekompromitteer is.
 
-- [**Pass the Cookie**](az-pass-the-cookie.md): Steel Azure cookies uit die blaaier en gebruik dit om aan te meld.
+- [**Pass the Certificate**](az-pass-the-certificate.md): Genereer 'n cert gebaseer op die PRT om van een masjien na 'n ander in te teken.
 
-- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): Wat is die PRT, hoe om dit te steel en dit te gebruik om toegang tot Azure-resources te kry terwyl jy die gebruiker impersonate.
+- [**Pass the Cookie**](az-pass-the-cookie.md): Steel Azure cookies uit die blaaier en gebruik dit om in te teken.
 
-- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): Hoe om Pass-through Authentication te misbruik om van die cloud na die plaaslike AD te beweeg en andersom.
+- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): Wat die PRT is, hoe om dit te steel en dit te gebruik om toegang tot Azure resources te kry terwyl jy die gebruiker imiteer.
 
-- [**Seamless SSO**](az-seamless-sso.md): Hoe om Seamless SSO te misbruik om van on-prem na cloud te beweeg.
+- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): Hoe om Pass-through Authentication te misbruik om van die cloud na on-premises AD te beweeg en andersom.
 
-- **Nog 'n manier om van cloud na On-Prem te pivot is** [**abusing Intune**](../az-services/intune.md)
+- [**Seamless SSO**](az-seamless-sso.md): Hoe om Seamless SSO te misbruik om van on-prem na die cloud te beweeg.
+
+- **Nog 'n manier om van die cloud na On-Prem te pivot is** [**abusing Intune**](../az-services/intune.md)
 
 
 {{#include ../../../banners/hacktricks-training.md}}

src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-exchange-hybrid-impersonation.md

@@ -0,0 +1,47 @@
+# Az - Exchange Hybrid Impersonation (ACS Actor Tokens)
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## Basiese Inligting
+
+In ouer Exchange Hybrid-ontwerpe kon die on-prem Exchange-implementering as dieselfde Entra-toepassingsidentiteit verifieer wat deur Exchange Online gebruik is. As 'n aanvaller die Exchange-bediener gekompromitteer het, die hybrid-sertifikaat se private sleutel uitgepluk het en 'n OAuth client-credentials-vloei uitgevoer het, kon hulle first-party tokens bekom met Exchange Online-privilegie-konteks.
+
+Die praktiese risiko het nie tot posbus-toegang beperk gebly nie. Omdat Exchange Online wye back-end vertrouensverhoudings gehad het, kon hierdie identiteit met addisionele Microsoft 365-dienste interakteer en, in ouer gedrag, benut word vir dieper tenant-kompromittering.
+
+## Aanvalspaaie en Tegniese Vloei
+
+### Wysig Federasiekonfigurasie via Exchange
+
+Exchange-tokens het histories toestemmings gehad om domein-/federasie-instellings te skryf. Vanaf 'n aanvallersperspektief het dit direkte manipulering van gefedereerde domeinvertrouensdata moontlik gemaak, insluitend token-signing-sertifikaatlyste en konfigurasievlagte wat MFA-claim-aanvaarding vanaf on-prem federasie-infrastruktuur beheer het.
+
+Dit beteken 'n gekompromitteerde Exchange Hybrid-bediener kon gebruik word om ADFS-styl identiteitsnabootsing te plaas of te versterk deur federasie-konfigurasie vanaf die wolk te verander, selfs wanneer die aanvaller slegs vanaf on-prem Exchange-kompromittering begin het.
+
+### ACS Actor Tokens en Diens-tot-Diens Identiteitsnabootsing
+
+Exchange se hybride auth-pad het Access Control Service (ACS) actor tokens gebruik met `trustedfordelegation=true`. Daardie actor-tokens is toe ingebed in 'n tweede, ongetekende service-token wat die teiken-gebruikeridentiteit in 'n aanvallerbeheerde gedeelte gedra het. Omdat die buitenste token ongeteken was en die actor-token wyd gedelegeer het, kon die aanroeper teiken-gebruikers ruil sonder om weer te verifieer.
+
+In praktyk, sodra die actor-token verkry is, het die aanvaller 'n langlewende impersonasie-primitive gehad (tipies ongeveer 24 uur) wat moeilik was om mid-lewe te herroep. Dit het gebruikersimpersonasie oor Exchange Online en SharePoint/OneDrive APIs moontlik gemaak, insluitend eksfiltrasie van hoë-waarde data.
+
+Histories het dieselfde patroon ook teen `graph.windows.net` gewerk deur 'n impersonasie-token te bou met die slagoffer se `netId`-waarde. Dit het direkte Entra-administratiewe aksie as ewekansige gebruikers toegelaat en volledige-tenant oorname-workflows (byvoorbeeld die skep van 'n nuwe Global Administrator-rekening) moontlik gemaak.
+
+## Wat Nie Meer Werk Nie
+
+Die `graph.windows.net`-impersonasiepad via Exchange Hybrid actor-tokens is reggestel. Die ou "Exchange to arbitrary Entra admin over Graph" ketting moet as verwyder beskou word vir hierdie spesifieke token-roete.
+
+Dit is die belangrikste korrigering om te noem wanneer die aanval gedokumenteer word: hou die Exchange/SharePoint-impersonasie-risiko apart van die nou-gepatchte Graph-impersonasie-eskalasie.
+
+## Wat Nog Steeds Saakmaak in die Praktijk
+
+As 'n organisasie steeds 'n ouer of onvolledige hybride konfigurasie met gedeelde vertroue en blootgestelde sertifikaatmateriaal loop, kan Exchange/SharePoint-impersonasie steeds ernstige gevolge hê. Die misbruikhoek van federasiekonfigurasie kan ook relevant bly, afhangende van tenant-opstelling en migrasietoestand.
+
+Microsoft se langtermyn-mitigasie is om die on-prem en Exchange Online-identiteite te skei sodat die shared-service-principal trust-path nie meer bestaan nie. Omgewings wat daardie migrasie voltooi het, verminder hierdie aanvalsvlak aansienlik.
+
+## Opsporingsnotas
+
+Wanneer hierdie tegniek misbruik word, kan ouditgebeurtenisse identiteitsongelukke toon waar die user principal name ooreenstem met 'n geïmpersonifieerde gebruiker terwyl die vertoon-/bron-konteks na Exchange Online-aktiwiteit wys. Daardie gemengde identiteitspatroon is 'n hoë-waarde jagsein, hoewel verdedigers geldige Exchange-admin-werkvloei moet baselijn om vals positiewe te verminder.
+
+## Verwysings
+
+- https://www.youtube.com/watch?v=rzfAutv6sB8
+
+{{#include ../../../banners/hacktricks-training.md}}