Extracción de Tokens en Entornos Office 365

Las aplicaciones en Office 365 utilizan tokens JWT (JSON Web Tokens) para autenticar y autorizar el acceso a diferentes recursos alojados en Azure. La extracción de estos tokens puede ser crítica durante ejercicios de Red Team o auditorías ofensivas autorizadas, ya que permite expandir considerablemente la superficie de ataque, accediendo a recursos y datos confidenciales adicionales después de comprometer inicialmente un ordenador o servidor.

Interceptación de Tráfico SSL/TLS

Una técnica efectiva para obtener tokens JWT es mediante la interceptación de tráfico SSL/TLS. Esto se realiza utilizando herramientas especializadas como MITM Proxy, certificados SSL/TLS personalizados y control sobre la configuración del proxy en la máquina objetivo. Esto permite capturar y analizar tokens JWT durante el intercambio entre la aplicación cliente y los servicios de Azure.

La captura de tokens dirigidos a la API de Microsoft Graph es especialmente relevante, ya que proporcionan acceso extenso a servicios de Office 365, como correos electrónicos, calendarios, documentos de OneDrive y mucho más.

Extracción mediante Volcado de Memoria

Otra técnica complementaria para obtener tokens JWT es realizar un volcado de memoria del proceso activo correspondiente a una aplicación de Office 365 utilizando herramientas como Procdump. Al analizar estos volcados, es posible identificar tokens JWT almacenados temporalmente en memoria, facilitando su recuperación y posterior explotación durante pruebas ofensivas autorizadas.

Descifrado de Tokens en Caché

Las aplicaciones de Office también almacenan tokens JWT localmente en la caché ubicada en:

%LOCALAPPDATA%\Microsoft\TokenBroker\Cache

Estos tokens se guardan en archivos .TBRES, protegidos con DPAPI (API de Protección de Datos).

La herramienta WAMBam permite descifrar estos tokens almacenados, extrayéndolos en texto claro. Esto simplifica significativamente la obtención y uso de estos tokens en escenarios de evaluación ofensiva autorizados.