語言:
Microsoft Entra 租用戶可以與外部網域同盟,以便與另一個網域建立信任來進行驗證和授權。 不過,如果惡意攻擊執行者在 Microsoft Entra ID 中獲得較高特權,就能新增同盟網域或編輯現有同盟網域,並在次要設定中加上自己的設定,進而不當利用這種同盟機制並建立後門程式。
最好避免在 Entra ID 中長時間讓設定的自訂網域處於未驗證狀態。
Microsoft 在 2020 年春季修復了此問題,在此之前甚至可以使用新的未驗證網域建立同盟網域後門程式,這可透過開放原始碼攻擊者工具 AADInternals 的 New-AADIntBackdoor 指令程式 達成。
此曝險指標會列出您的 Entra ID 環境中所有未驗證的自訂網域,以便您確認其正當性。
您應處理本曝險指標結果中列出的未驗證自訂網域,因為它們可能會成為攻擊者製造潛在後門程式的工具,或助長這種情況。
如要在 Azure 入口網站中檢視網域清單,請前往「自訂網域名稱」窗格,並在「狀態」欄中尋找標記為「未驗證」的網域。任何潛在的惡意網域都會對應結果中列出的名稱。
您可以使用 MS Graph API 的 PowerShell 指令程式透過 Get-MgDomain
列出網域:
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | ? { $_.IsVerified -eq $True }
完成這些未驗證網域的設定或將網域移除。
若屬於正當的受信任網域,您需要透過網域註冊商建立所需的 DNS 項目,然後完成驗證程序。
否則,請進行鑑識調查,確定網域是否受到入侵並評估入侵程度。 由於新增自訂網域通常需要「全域管理員」角色這類較高特權,也可能涉及其他較不常見的 Entra 角色,因此如果這些特權使用不當,Entra ID 很可能會遭到完全入侵。
請先保留證據以供鑑識分析之用,並在確定為不當網域的情況下再使用 Remove-MgDomain 將其移除。 最後請做好心理準備,攻擊者可能已建立其他潛伏機制,例如後門程式。請諮詢資安事端回應專家,找出並排除這些額外威脅。
名稱: 未驗證的網域
代碼名稱: UNVERIFIED-DOMAIN
嚴重性: Low
類型: Microsoft Entra ID Indicator of Exposure