語言:
Microsoft Entra 租用戶可以與外部網域同盟,以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory Federation Services (AD FS)。(註: 外部網域不是 Active Directory「網域」)。 不過,如果惡意攻擊執行者在 Microsoft Entra ID 中獲得進階特權,就能在正當的同盟設定中新增包含自訂設定的惡意次要權杖簽署憑證,進而利用這種同盟機制建立後門程式。此類攻擊將允許執行以下動作:
本曝險指標會偵測主次要權杖簽署憑證 (若有) 之間的主體或核發者屬性是否有不相符之處,因為這可能表示次要權杖簽署憑證不正當,並且可能具有惡意。
另請參閱相關的曝險指標「已知的同盟網域後門程式」。
將驗證證明從受到入侵的同盟網域傳輸至目標 Microsoft Entra ID 時,所用的同盟通訊協定可能是 WS-Federation 或 SAML。使用 SAML 時,這種攻擊與「Golden SAML」攻擊相似,但主要區別如下:
microsoft.directory/domains/allProperties/allTasks
和 microsoft.directory/domains/federation/update
權限讓管理員可以修改同盟網域。截至 2023 年 11 月,除了潛在的自訂角色外,下列內建 Microsoft Entra 角色也具有此權限:
APT29 威脅組織在 2020 年 12 月不當利用此方法,對 SolarWinds 發動惡名昭彰的「Solorigate」攻擊,Microsoft 和 Mandiant 均有相關記錄。此技術在以下多篇文章中均有說明:「Azure AD 與 Office 365 識別身分同盟中的安全弱點」、「如何建立 Azure AD 後門程式 - 第 1 章: 識別身分同盟」和「Azure Active Directory 識別身分同盟深度分析」。
此結果表示存在攻擊者建立的潛在後門程式。
首先,檢查次要權杖簽署憑證 ,並密切注意報告中任何與主要憑證不相符的屬性。驗證這些屬性在貴組織中的正當性。向 Entra ID 管理員確認報告網域中包含此次要憑證的同盟設定是否有所變更。
次要權杖簽署憑證通常用於替換即將到期的主要憑證。只有當該憑證具有明顯惡意或未經管理員確認時,才會引發安全問題,並被視為潛在惡意行為的徵兆。在這種情況下,請發起包含鑑識分析的資安事端回應程序,以確認疑似攻擊事件的真實性、確定攻擊的來源和時間,並評估潛在入侵的程度。
如要在 Azure 入口網站中檢視同盟網域清單,請前往「自訂網域名稱」窗格,並在「同盟」欄中找到有勾選標記的網域。潛在惡意網域的名稱與結果報告中標記的名稱相符,但不同於 MS Graph API,Azure 入口網站不會顯示同盟技術的詳細資料。
使用 MS Graph API 的 PowerShell 指令程式列出有 Get-MgDomain
的網域,以及有 Get-MgDomainFederationConfiguration
的同盟設定,如下所示:
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
儲存用於鑑識分析的證據後,建議移除惡意的次要權杖簽署憑證。由於 Microsoft 未提供直接從同盟設定中移除此特定憑證的方法,因此最簡便的方式是停用網域同盟或完全移除受影響的網域,清除其同盟設定後再重新啟用。但請注意執行時機,因為在此過程中,依賴此同盟網域的使用者將無法進行驗證。如果您設定同盟時使用的是 Microsoft Entra Connect,建議使用相同的工具完成此操作。手動完成的設定則應使用 Update-MgDomainFederationConfiguration
並依照原本的方式進行重設。您可以依照 Microsoft 提供的「緊急輪替 AD FS 憑證」修復指南操作。
為了確認此操作是否成功,請務必清除此曝險指標的報告結果。 另一個重點是做好心理準備,攻擊者可能已建立其他潛伏機制,例如後門程式。請尋求資安事端回應專家的協助,以找出並排除這些額外威脅。
請注意,此類攻擊是針對 Microsoft Entra ID 中正當且常見的同盟功能進行濫用。為了防止未來遭受攻擊,請限制可修改同盟設定的管理員人數。這是一種主動預防措施,因為攻擊者必須具備進階特權才能建立後門程式。請查看弱點說明,瞭解具體權限及角色清單。
名稱: 同盟簽署憑證不相符
代碼名稱: FEDERATION-SIGNING-CERTIFICATES-MISMATCH
嚴重性: High
類型: Microsoft Entra ID Indicator of Exposure