已知的同盟網域後門程式

Microsoft Entra 租用戶可以與外部網域同盟，以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory Federation Services (AD FS)(註: 外部網域不是 Active Directory「網域」)。 不過，如果惡意攻擊執行者在 Microsoft Entra ID 中獲得較高權限，就能新增同盟網域或編輯現有同盟網域，以新增次要設定與自己的設定，進而不當利用這種同盟機制並建立後門程式​。藉由發起此攻擊，攻擊者可以:

• 假冒​: 惡意同盟網域可產生權杖，讓攻擊者無需知道密碼或重設密碼，就能透過任何 Microsoft Entra 使用者的身分來進行驗證。這包括「僅限雲端」使用者 (非混合使用者) 和外部使用者。即便您已強制使用 MFA (請見下文)，這仍允許對 Microsoft Entra ID、Microsoft 365 (O365)，以及其他依賴 Microsoft Entra ID 作為身分識別提供者 (SSO) 的應用程式發動攻擊。
• 權限提升​: 攻擊者可以假冒任何使用者，尤其是特權 Microsoft Entra ID 使用者。
• 多因素驗證繞過​: 有了同盟驗證，受信任的外部網域可以擔任強制執行 MFA 的角色。惡意同盟網域可以謊稱偽造的驗證使用了受 Microsoft Entra ID 信任的 MFA，並且 Microsoft Entra ID 不會再次提示使用 MFA。即便在有 MFA 保護的情況下，攻擊者也可藉此假冒所有使用者。
• 長期潛伏​: 新增惡意同盟網域是一種隱蔽技術，允許入侵 Microsoft Entra 租用戶並佔有高等權限的攻擊者之後重新取得存取權。

本曝險指標根據 AADInternals 駭客工具組建立或轉換的後門程式網域的特定特徵，偵測所建立的同盟網域後門程式​，尤其是 ConvertTo-AADIntBackdoor 和 New-AADIntBackdoor 指令程式。

另外，也會參照相關的「同盟簽署憑證不相符」曝險指標。

將驗證證明從惡意同盟網域傳輸至目標 Microsoft Entra ID 時，所用的同盟通訊協定可能是 WS-Federation 或 SAML。使用 SAML 時，這種攻擊與「Golden SAML」攻擊相似，但主要區別如下:

• 攻擊者不是竊取現有同盟的正當 SAML 簽署金鑰，而是使用自己的金鑰插入新網域。
• 攻擊者不是將偽造的權杖提交給特定服務，而是提交給同盟服務，以在未經授權的情況下存取多個系統。

microsoft.directory/domains/allProperties/allTasks 和 microsoft.directory/domains/federation/update 權限讓管理員可以修改同盟網域。截至 2023 年 11 月，除了潛在的自訂角色外，下列內建 Microsoft Entra 角色也具有此權限:

• 「網域名稱管理員」
• 「外部身分識別提供者管理員」
• 「混合身分管理員」
• 「全域管理員」
• 「合作夥伴第 2 層支援」
• 「安全管理員」

APT29 威脅組織在 2020 年 12 月不當利用此方法，對 SolarWinds 發動惡名昭彰的「Solorigate」攻擊，Microsoft 和 Mandiant 均有相關記錄。

此發現表示存在來自攻擊者的潛在後門程式​。發起包含鑑識分析的資安事端回應程序​，以確認是否有發生據報的攻擊、確定攻擊的源頭和時間，並評估潛在入侵的程度。

如要在 Azure 入口網站中檢視同盟網域清單，請前往「自訂網域名稱」部分，並在「同盟」欄中找到有勾選標記的網域。潛在惡意網域的名稱與結果報告中標記的名稱相符，但不同於 MS Graph API，Azure 入口網站不會顯示同盟技術的詳細資料。

使用 MS Graph API 的 PowerShell 指令程式 列出有 Get-MgDomain 的網域，以及有 Get-MgDomainFederationConfiguration` 的同盟設定，如下所示:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

儲存用於鑑識分析的證據​後:

• 若為不正當網域，請使用 Remove-MgDomain 將其移除。
• 若為正當網域，但有惡意同盟設定，請使用 Remove-MgDomainFederationConfiguration 移除同盟設定。

您可以依照 Microsoft 提供的「Emergency rotation of the AD FS certificates」(AD FS 憑證的緊急變換) 修復指南操作。

為了確保正常運作，請確定已清除此曝險指標的報告結果。

此外，應假設攻擊者可能已建立其他潛伏機制，例如後門程式。請尋求資安事端回應專家的協助，以找出並排除這些額外威脅。

請注意，此類攻擊不當利用同盟功能，而該功能是 Microsoft Entra ID 正當的一般功能。為了防止未來遭受攻擊，請限制可修改同盟設定的管理員人數。這是一種主動預防措施，因為攻擊者必須具備高權限才能建立後門程式。請查看弱點說明，瞭解具體權限及角色清單。

名稱: 已知的同盟網域後門程式

代碼名稱: KNOWN-FEDERATED-DOMAIN-BACKDOOR

嚴重性: Critical