語系:
Microsoft Entra 租用戶可以與外部網域同盟,以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory Federation Services (AD FS)(註: 外部網域不是 Active Directory「網域」)。 不過,如果惡意攻擊執行者在 Microsoft Entra ID 中獲得較高權限,就能新增同盟網域或編輯現有同盟網域,以新增次要設定與自己的設定,進而不當利用這種同盟機制並建立後門程式。藉由發起此攻擊,攻擊者可以:
本曝險指標根據 AADInternals 駭客工具組建立或轉換的後門程式網域的特定特徵,偵測所建立的同盟網域後門程式,尤其是 ConvertTo-AADIntBackdoor
和 New-AADIntBackdoor
指令程式。
另外,也會參照相關的「同盟簽署憑證不相符」曝險指標。
將驗證證明從惡意同盟網域傳輸至目標 Microsoft Entra ID 時,所用的同盟通訊協定可能是 WS-Federation 或 SAML。使用 SAML 時,這種攻擊與「Golden SAML」攻擊相似,但主要區別如下:
microsoft.directory/domains/allProperties/allTasks
和 microsoft.directory/domains/federation/update
權限讓管理員可以修改同盟網域。截至 2023 年 11 月,除了潛在的自訂角色外,下列內建 Microsoft Entra 角色也具有此權限:
APT29 威脅組織在 2020 年 12 月不當利用此方法,對 SolarWinds 發動惡名昭彰的「Solorigate」攻擊,Microsoft 和 Mandiant 均有相關記錄。
此發現表示存在來自攻擊者的潛在後門程式。發起包含鑑識分析的資安事端回應程序,以確認是否有發生據報的攻擊、確定攻擊的源頭和時間,並評估潛在入侵的程度。
如要在 Azure 入口網站中檢視同盟網域清單,請前往「自訂網域名稱」部分,並在「同盟」欄中找到有勾選標記的網域。潛在惡意網域的名稱與結果報告中標記的名稱相符,但不同於 MS Graph API,Azure 入口網站不會顯示同盟技術的詳細資料。
使用 MS Graph API 的 PowerShell 指令程式 列出有 Get-MgDomain
的網域,以及有 Get-MgDomainFederationConfiguration
` 的同盟設定,如下所示:
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
儲存用於鑑識分析的證據後:
Remove-MgDomain
將其移除。Remove-MgDomainFederationConfiguration
移除同盟設定。您可以依照 Microsoft 提供的「Emergency rotation of the AD FS certificates」(AD FS 憑證的緊急變換) 修復指南操作。
為了確保正常運作,請確定已清除此曝險指標的報告結果。
此外,應假設攻擊者可能已建立其他潛伏機制,例如後門程式。請尋求資安事端回應專家的協助,以找出並排除這些額外威脅。
請注意,此類攻擊不當利用同盟功能,而該功能是 Microsoft Entra ID 正當的一般功能。為了防止未來遭受攻擊,請限制可修改同盟設定的管理員人數。這是一種主動預防措施,因為攻擊者必須具備高權限才能建立後門程式。請查看弱點說明,瞭解具體權限及角色清單。
名稱: 已知的同盟網域後門程式
代碼名稱: KNOWN-FEDERATED-DOMAIN-BACKDOOR
嚴重性: Critical
More: Modify Trusted Domains [Mandiant], Security vulnerability in Azure AD & Office 365 identity federation, How to create a backdoor to Azure AD - part 1: Identity federation, Deep-dive to Azure Active Directory Identity Federation