已知的同盟網域後門程式

Critical

說明

Microsoft Entra 租用戶可以與外部網域同盟,以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory Federation Services (AD FS)(註: 外部網域不是 Active Directory「網域」)。 但如果惡意攻擊執行者在 Microsoft Entra ID 中獲得高權限,他們可以新增自己的同盟網域或編輯現有同盟網域以新增次要設定與自己的設定,來濫用這種同盟機制並建立後門程式​。這種攻擊將允許以下動作:

  • 假冒​: 惡意同盟網域可以產生權杖,允許攻擊者以任何 Microsoft Entra 使用者的身分來進行驗證,無需知道或重設密碼。這包括「僅限雲端」使用者 (非混合使用者) 和外部使用者。即便您已強制使用 MFA (請見下文),這仍允許對 Microsoft Entra ID、Microsoft 365 (O365),以及其他依賴 Microsoft Entra ID 作為身分識別提供者 (SSO) 的應用程式發動攻擊。
  • 權限提升​: 攻擊者可以假冒任何使用者,尤其是特權 Microsoft Entra ID 使用者。
  • 多因素驗證繞過​: 有了同盟驗證,受信任的外部網域可以擔任強制執行 MFA 的角色。惡意同盟網域可以謊稱偽造的驗證使用了受 Microsoft Entra ID 信任的 MFA,並且 Microsoft Entra ID 不會再次提示使用 MFA。即便在有 MFA 保護的情況下,攻擊者也可藉此假冒所有使用者。
  • 長期潛伏​: 新增惡意同盟網域是一種隱蔽技術,允許入侵 Microsoft Entra 租用戶並佔有高等權限的攻擊者之後重新取得存取權。

本曝險指標會根據 AADInternals 駭客工具組所建立或轉換之後門程式網域的某些特徵,偵測其建立的同盟網域後門程式,尤其是 ConvertTo-AADIntBackdoorNew-AADIntBackdoor cmdlets。

將驗證證明從惡意同盟網域傳遞至受攻擊 Microsoft Entra ID 的同盟通訊協定可以是 WS-Federation 或 SAML。對於 SAML,這種攻擊類似於「Golden SAML」攻擊,主要區別如下:

  • 攻擊者不是竊取現有同盟的正當 SAML 簽章金鑰,而是使用自己的金鑰插入新網域。
  • 攻擊者使用權杖進行同盟,而不是存取某個服務。

microsoft.directory/domains/federation/update 權限可授予修改同盟網域的能力。截至 2023 年 1 月,除潛在的自訂角色外,下列內建 Microsoft Entra 角色持有此權限:

APT29 威脅集團在 2020 年 12 月濫用此方法對 SolarWinds 發動惡名昭彰的「Solorigate」攻擊,MicrosoftMandiant 均有相關記錄。

解決方案

此發現表示存在來自攻擊者的潛在後門程式​。啟動有鑑識分析的資安事端回應程序​以確認據報的攻擊是否屬實、找出攻擊者和攻擊時間,並查明潛在入侵的程度。

Microsoft 認為同盟是 Microsoft Entra ID 的正當功能,而此攻擊濫用了這一點。Microsoft 強調,攻擊者必須取得較高特權才能建立此後門程式。因此,您應限制能夠修改同盟設定的管理員數量​。如需更多資訊,請參閱弱點說明中的特定權限和角色清單。

如要檢查 Azure 入口網站中的同盟網域清單,請開啟「自訂網域名稱」頁面,並在「同盟」欄中尋找有勾選標記的網域名稱。潛在惡意網域的名稱與您在發現結果中看到的名稱相同。但是與 MS Graph API 不同,Azure 入口網站不會顯示同盟技術的詳細資料。

來自 MS Graph API 的 PowerShell cmdlet 允許您列出有 Get-MgDomain 的網域,以及其有 Get-MgDomainFederationConfiguration` 的同盟設定:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

您為最終鑑識分析儲存證據​後:

指標詳細資料

名稱: 已知的同盟網域後門程式

代碼名稱: KNOWN-FEDERATED-DOMAIN-BACKDOOR

嚴重性: Critical

MITRE 攻擊資訊:

技術: T1484.002, T1606.002

More: Modify Trusted Domains [Mandiant], Security vulnerability in Azure AD & Office 365 identity federation, How to create a backdoor to Azure AD - part 1: Identity federation, Deep-dive to Azure Active Directory Identity Federation