說明

Microsoft Entra 租用戶可以與外部網域同盟,以便與另一個網域建立信任來進行驗證和授權。 不過,如果惡意攻擊執行者在 Microsoft Entra ID 中獲得較高特權,就能新增同盟網域或編輯現有同盟網域,並在次要設定中加上自己的設定,進而不當利用這種同盟機制並建立後門程式​。

最好避免在 Entra ID 中長時間讓設定的自訂網域處於未驗證狀態。

Microsoft 在 2020 年春季修復了此問題,在此之前甚至可以使用新的未驗證網域建立同盟網域後門程式,這可透過開放原始碼攻擊者工具 AADInternalsNew-AADIntBackdoor 指令程式 達成。

此曝險指標會列出您的 Entra ID 環境中所有未驗證的自訂網域​,以便您確認其正當性。

解決方案

您應處理本曝險指標結果中列出的未驗證自訂網域,因為它們可能會成為攻擊者製造潛在後門程式​的工具,或助長這種情況。

如要在 Azure 入口網站中檢視網域清單,請前往「自訂網域名稱」窗格,並在「狀態」欄中尋找標記為「未驗證」的網域。任何潛在的惡意網域都會對應結果中列出的名稱。 您可以使用 MS Graph API 的 PowerShell 指令程式透過 Get-MgDomain 列出網域:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | ? { $_.IsVerified -eq $True }

完成這些未驗證網域的設定或將網域移除。

若屬於正當的受信任網域,您需要透過網域註冊商建立所需的 DNS 項目,然後完成驗證程序。

否則,請進行鑑識調查​,確定網域是否受到入侵並評估入侵程度。 由於新增自訂網域通常需要「全域管理員」角色這類較高特權,也可能涉及其他較不常見的 Entra 角色,因此如果這些特權使用不當,Entra ID 很可能會遭到完全入侵。

請先保留證據​以供鑑識分析之用,並在確定為不當網域的情況下再使用 Remove-MgDomain 將其移除。 最後請做好心理準備,攻擊者可能已建立其他潛伏機制,例如後門程式。請諮詢資安事端回應專家,找出並排除這些額外威脅。

指標詳細資料

名稱: 未驗證的網域

代碼名稱: UNVERIFIED-DOMAIN

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: