同盟網域清單

Microsoft Entra 租用戶可以與外部網域同盟，以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory Federation Services (AD FS)。(註: 外部網域不是 Active Directory「網域」)。 不過，如果惡意攻擊執行者在 Microsoft Entra ID 中獲得進階特權，就能新增同盟網域，或編輯現有同盟網域以新增自訂的次要設定，進而不當利用這種同盟機制並建立後門程式​。

設於同盟網域上的後門程式依賴插入設定中的特製偽造權杖簽署憑證，該憑證可能透過主要或次要權杖簽署憑證進入系統。使用常見的開放原始碼攻擊者工具 (例如具有 ConvertTo-AADIntBackdoor 指令程式 的 AADInternals) 時，可能會留下表明可疑事件發生的線索。

與「已知的同盟網域後門程式」曝險指標 (IoE) 不同，此曝險指標 (IoE) 未必代表系統中存在由攻擊者建立的後門程式。相反，它會提供 Entra ID 租用戶中所有同盟網域的完整清單，允許您驗證每個網域的核發者 URI 是否與您設定的外部身分識別提供者 (IdP) 相符。一般情況下，這會是您的內部部署 AD FS 伺服器。核發者 URI 表示受信任同盟伺服器的 URL。

正如 Microsoft 的說明所述，透過 AD FS 建立同盟身分的網域，其預設核發者為 http://<ADFSServiceFQDN> /adfs/services/trust。不過，如果您使用的是其他同盟身分識別提供者，此值就會有所不同。

microsoft.directory/domains/allProperties/allTasks 和 microsoft.directory/domains/federation/update 權限讓管理員可以修改同盟網域。截至 2023 年 11 月，除了潛在的自訂角色外，下列內建 Microsoft Entra 角色也具有此權限:

• 網域名稱管理員
• 外部身分識別提供者管理員
• 混合身分管理員
• 全域管理員
• 合作夥伴第 2 層支援
• 安全管理員

檢查同盟網域的屬性以評估其正當性，確認這是您有意在身分識別提供者中使用指定設定建立的。 請仔細檢查核發者 URI，以及主要和次要權杖簽署憑證的核發者和主體等屬性。如果所有內容看起來皆正當無虞，您可以透過排除項目略過該同盟網域。

然而若發現屬性不符合環境中的受信任同盟身分識別提供者 (IdP)，則可能是攻擊者已建立後門程式的跡象​。發起包含鑑識分析的資安事端回應程序​，以確認疑似攻擊事件的真實性、確定攻擊的來源和時間，並評估潛在入侵的程度。 由於安裝此類後門程式需要較高的特權 (通常需要「全域管理員」以及其他較不常見的 Entra 角色)，Entra ID 很可能會遭到完全入侵。

如要在 Azure 入口網站中檢視同盟網域清單，請前往「自訂網域名稱」窗格，並在「同盟」欄中找到有勾選標記的網域。潛在惡意網域的名稱與結果報告中標記的名稱相符，但不同於 MS Graph API，Azure 入口網站不會顯示同盟技術的詳細資料。

使用 MS Graph API 的 PowerShell 指令程式 列出有 Get-MgDomain 的網域，以及有 Get-MgDomainFederationConfiguration 的同盟設定，如下所示:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

儲存日後用於鑑識分析的證據​後:

• 若為不正當網域，請使用 Remove-MgDomain 將其移除。
• 若為正當網域，但有惡意同盟設定，請使用 Remove-MgDomainFederationConfiguration 移除同盟設定。

您可以依照 Microsoft 提供的「AD FS 憑證的緊急變換」修復指南操作。

為了確認此操作是否成功，請務必解決並清除此曝險指標的報告結果。

另一個不容忽視的重點是做好心理準備，因為攻擊者可能已建立後門程式等其他潛伏機制。請尋求資安事端回應專家的協助，以找出並排除任何額外威脅。

請注意，此類攻擊是針對 Microsoft Entra ID 中正當且常見的同盟功能進行濫用。為了防止未來遭受攻擊，請限制可修改同盟設定的管理員人數。這是一種主動預防措施，因為攻擊者需要取得進階特權才能建立後門程式。請查看弱點說明，瞭解具體權限及角色清單。

名稱: 同盟網域清單

代碼名稱: FEDERATED-DOMAINS-LIST

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure