同盟簽署憑證不相符

Microsoft Entra 租用戶可以與外部網域同盟，以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory Federation Services (AD FS)。(註: 外部網域不是 Active Directory「網域」)。 不過，如果惡意攻擊執行者在 Microsoft Entra ID 中獲得進階特權，就能在正當的同盟設定中新增包含自訂設定的惡意次要權杖簽署憑證，進而利用這種同盟機制建立後門程式。​此類攻擊將允許執行以下動作:

• 假冒​: 惡意的次要權杖簽署憑證可產生權杖，讓攻擊者無需知道或重設密碼，即可透過任何 Microsoft Entra 使用者的身分進行驗證。這包括「雲端專用」使用者 (非混合使用者) 和外部使用者。即便您已強制使用 MFA (請見下文)，這仍允許對 Microsoft Entra ID、Microsoft 365 (O365)，以及其他依賴 Microsoft Entra ID 作為身分識別提供者 (SSO) 的應用程式發動攻擊。
• 特權提升​: 攻擊者可以假冒任何使用者，尤其是特權 Microsoft Entra ID 使用者。
• 多因素驗證繞過​: 有了同盟驗證，受信任的外部網域可以擔任強制執行 MFA 的角色。接下來，惡意次要權杖簽署憑證可以謊稱偽造的驗證使用了 MFA，Microsoft Entra ID 將信任該驗證，且不會再次提示使用 MFA。即便在有 MFA 保護的情況下，攻擊者也可藉此假冒所有使用者。
• 潛伏​: 在既有的同盟網域中新增惡意次要權杖簽署憑證是一種隱蔽技術，允許入侵 Microsoft Entra 租用戶並擁有進階特權的攻擊者之後重新取得存取權。

本曝險指標會偵測主次要權杖簽署憑證 (若有) 之間的主體或核發者屬性是否有不相符之處​，因為這可能表示次要權杖簽署憑證不正當，並且可能具有惡意。

另請參閱相關的曝險指標「已知的同盟網域後門程式」。

將驗證證明從受到入侵的同盟網域傳輸至目標 Microsoft Entra ID 時，所用的同盟通訊協定可能是 WS-Federation 或 SAML。使用 SAML 時，這種攻擊與「Golden SAML」攻擊相似，但主要區別如下:

• 攻擊者不是竊取現有同盟的正當 SAML 簽署金鑰，而是使用自己的金鑰插入其次要簽署憑證。
• 攻擊者不是將偽造的權杖提交給特定服務，而是提交給同盟服務，以在未經授權的情況下存取多個系統。

microsoft.directory/domains/allProperties/allTasks 和 microsoft.directory/domains/federation/update 權限讓管理員可以修改同盟網域。截至 2023 年 11 月，除了潛在的自訂角色外，下列內建 Microsoft Entra 角色也具有此權限:

• 「網域名稱管理員」
• 「外部身分識別提供者管理員」
• 「混合身分管理員」
• 「全域管理員」
• 「合作夥伴第 2 層支援」
• 「安全管理員」

APT29 威脅組織在 2020 年 12 月不當利用此方法，對 SolarWinds 發動惡名昭彰的「Solorigate」攻擊，Microsoft 和 Mandiant 均有相關記錄。此技術在以下多篇文章中均有說明:「Azure AD 與 Office 365 識別身分同盟中的安全弱點」、「如何建立 Azure AD 後門程式 - 第 1 章: 識別身分同盟」和「Azure Active Directory 識別身分同盟深度分析」。

此結果表示存在攻擊者建立的潛在後門程式​。

首先，檢查次要權杖簽署憑證 ，並密切注意報告中任何與主要憑證不相符的屬性​。驗證這些屬性在貴組織中的正當性。向 Entra ID 管理員確認報告網域中包含此次要憑證的同盟設定是否有所變更。

次要權杖簽署憑證通常用於替換即將到期的主要憑證。只有當該憑證具有明顯惡意或未經管理員確認時，才會引發安全問題，並被視為潛在惡意行為的徵兆。​在這種情況下，請發起包含鑑識分析的資安事端回應程序​，以確認疑似攻擊事件的真實性、確定攻擊的來源和時間，並評估潛在入侵的程度。

如要在 Azure 入口網站中檢視同盟網域清單，請前往「自訂網域名稱」窗格，並在「同盟」欄中找到有勾選標記的網域。潛在惡意網域的名稱與結果報告中標記的名稱相符，但不同於 MS Graph API，Azure 入口網站不會顯示同盟技術的詳細資料。

使用 MS Graph API 的 PowerShell 指令程式列出有 Get-MgDomain 的網域，以及有 Get-MgDomainFederationConfiguration 的同盟設定，如下所示:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

儲存用於鑑識分析的證據​後，建議移除惡意的次要權杖簽署憑證。由於 Microsoft 未提供直接從同盟設定中移除此特定憑證的方法，因此最簡便的方式是停用網域同盟或完全移除受影響的網域，清除其同盟設定後再重新啟用。但請注意執行時機，因為在此過程中，依賴此同盟網域的使用者將無法進行驗證。如果您設定同盟時使用的是 Microsoft Entra Connect，建議使用相同的工具完成此操作。手動完成的設定則應使用 Update-MgDomainFederationConfiguration 並依照原本的方式進行重設。您可以依照 Microsoft 提供的「緊急輪替 AD FS 憑證」修復指南操作。

為了確認此操作是否成功，請務必清除此曝險指標的報告結果。 另一個重點是做好心理準備，攻擊者可能已建立其他潛伏機制，例如後門程式。請尋求資安事端回應專家的協助，以找出並排除這些額外威脅。

請注意，此類攻擊是針對 Microsoft Entra ID 中正當且常見的同盟功能進行濫用。為了防止未來遭受攻擊，請限制可修改同盟設定的管理員人數。這是一種主動預防措施，因為攻擊者必須具備進階特權才能建立後門程式。請查看弱點說明，瞭解具體權限及角色清單。

名稱: 同盟簽署憑證不相符

代碼名稱: FEDERATION-SIGNING-CERTIFICATES-MISMATCH

嚴重性: High

類型: Microsoft Entra ID Indicator of Exposure