語系:
Microsoft Entra 租用戶可以與外部網域同盟,以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory Federation Services (AD FS)(註: 外部網域不是 Active Directory「網域」)。 但如果惡意攻擊執行者在 Microsoft Entra ID 中獲得高權限,他們可以新增自己的同盟網域或編輯現有同盟網域以新增次要設定與自己的設定,來濫用這種同盟機制並建立後門程式。這種攻擊將允許以下動作:
本曝險指標會根據 AADInternals 駭客工具組所建立或轉換之後門程式網域的某些特徵,偵測其建立的同盟網域後門程式,尤其是 ConvertTo-AADIntBackdoor
和 New-AADIntBackdoor
cmdlets。
將驗證證明從惡意同盟網域傳遞至受攻擊 Microsoft Entra ID 的同盟通訊協定可以是 WS-Federation 或 SAML。對於 SAML,這種攻擊類似於「Golden SAML」攻擊,主要區別如下:
microsoft.directory/domains/federation/update
權限可授予修改同盟網域的能力。截至 2023 年 1 月,除潛在的自訂角色外,下列內建 Microsoft Entra 角色持有此權限:
APT29 威脅集團在 2020 年 12 月濫用此方法對 SolarWinds 發動惡名昭彰的「Solorigate」攻擊,Microsoft 和 Mandiant 均有相關記錄。
此發現表示存在來自攻擊者的潛在後門程式。啟動有鑑識分析的資安事端回應程序以確認據報的攻擊是否屬實、找出攻擊者和攻擊時間,並查明潛在入侵的程度。
Microsoft 認為同盟是 Microsoft Entra ID 的正當功能,而此攻擊濫用了這一點。Microsoft 強調,攻擊者必須取得較高特權才能建立此後門程式。因此,您應限制能夠修改同盟設定的管理員數量。如需更多資訊,請參閱弱點說明中的特定權限和角色清單。
如要檢查 Azure 入口網站中的同盟網域清單,請開啟「自訂網域名稱」頁面,並在「同盟」欄中尋找有勾選標記的網域名稱。潛在惡意網域的名稱與您在發現結果中看到的名稱相同。但是與 MS Graph API 不同,Azure 入口網站不會顯示同盟技術的詳細資料。
來自 MS Graph API 的 PowerShell cmdlet 允許您列出有 Get-MgDomain
的網域,以及其有 Get-MgDomainFederationConfiguration
` 的同盟設定:
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
您為最終鑑識分析儲存證據後:
Remove-MgDomain
將其移除。Remove-MgDomainFederationConfiguration
移除同盟設定。名稱: 已知的同盟網域後門程式
代碼名稱: KNOWN-FEDERATED-DOMAIN-BACKDOOR
嚴重性: Critical
More: Modify Trusted Domains [Mandiant], Security vulnerability in Azure AD & Office 365 identity federation, How to create a backdoor to Azure AD - part 1: Identity federation, Deep-dive to Azure Active Directory Identity Federation