未驗證的網域

Microsoft Entra 租用戶可以與外部網域同盟，以便與另一個網域建立信任來進行驗證和授權。 不過，如果惡意攻擊執行者在 Microsoft Entra ID 中獲得較高特權，就能新增同盟網域或編輯現有同盟網域，並在次要設定中加上自己的設定，進而不當利用這種同盟機制並建立後門程式​。

最好避免在 Entra ID 中長時間讓設定的自訂網域處於未驗證狀態。

Microsoft 在 2020 年春季修復了此問題，在此之前甚至可以使用新的未驗證網域建立同盟網域後門程式，這可透過開放原始碼攻擊者工具 AADInternals 的 New-AADIntBackdoor 指令程式 達成。

此曝險指標會列出您的 Entra ID 環境中所有未驗證的自訂網域​，以便您確認其正當性。

您應處理本曝險指標結果中列出的未驗證自訂網域，因為它們可能會成為攻擊者製造潛在後門程式​的工具，或助長這種情況。

如要在 Azure 入口網站中檢視網域清單，請前往「自訂網域名稱」窗格，並在「狀態」欄中尋找標記為「未驗證」的網域。任何潛在的惡意網域都會對應結果中列出的名稱。 您可以使用 MS Graph API 的 PowerShell 指令程式透過 Get-MgDomain 列出網域:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | ? { $_.IsVerified -eq $True }

完成這些未驗證網域的設定或將網域移除。

若屬於正當的受信任網域，您需要透過網域註冊商建立所需的 DNS 項目，然後完成驗證程序。

否則，請進行鑑識調查​，確定網域是否受到入侵並評估入侵程度。 由於新增自訂網域通常需要「全域管理員」角色這類較高特權，也可能涉及其他較不常見的 Entra 角色，因此如果這些特權使用不當，Entra ID 很可能會遭到完全入侵。

請先保留證據​以供鑑識分析之用，並在確定為不當網域的情況下再使用 Remove-MgDomain 將其移除。 最後請做好心理準備，攻擊者可能已建立其他潛伏機制，例如後門程式。請諮詢資安事端回應專家，找出並排除這些額外威脅。

名稱: 未驗證的網域

代碼名稱: UNVERIFIED-DOMAIN

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure