检测

已知的联合域后门程序

Critical

语言:

描述

Microsoft Entra 租户可以与外部域联合,以便与另一个域建立信任,从而进行身份验证和授权。组织使用联合功能,将 Active Directory 用户的身份验证委派到本地 Active Directory Federation Services (AD FS)。(请注意:外部域不是 Active Directory“域”。) 但是,如果恶意攻击者在 Microsoft Entra ID 中获得了更高的特权,他们可以添加自己的联合域或编辑现有的联合域来添加由自己设置的辅助设置,从而滥用这种联合机制来创建后门程序​。这种攻击将导致以下操作:

  • 冒充​:恶意联合域可以生成令牌,允许攻击者以任何 Microsoft Entra 用户的身份来进行身份验证,且无需知道或重置密码。这包括“仅限云”用户(并非混合用户)和外部用户。这允许对 Microsoft Entra ID、Microsoft 365 (O365),以及其他依赖 Microsoft Entra ID 作为身份验证提供商 (SSO) 的应用程序进行攻击,即便您已强制使用 MFA(见下方)。
  • 特权提升​:攻击者可以冒充任何用户,尤其是特权 Microsoft Entra 用户。
  • 多因素身份验证绕过​:受信任的外部域可以利用联合身份验证处理强制执行 MFA 的角色。然后,恶意联合域可以错误地声称伪造的身份验证使用了受 Microsoft Entra ID 信任的 MFA,并且不会再次提示进行 MFA。即便在受到 MFA 保护的情况下,攻击者也可以通过这种方法冒充所有用户。
  • 持久性​:添加恶意联合域是一种隐蔽的技术,允许入侵 Microsoft Entra 租户并占用高级特权的攻击者稍后重新获得访问权限。

此风险暴露指标根据后门域创建或转换的某些特征,可检测 AADInternals 黑客工具包创建的联合域后门程序,尤其是 ConvertTo-AADIntBackdoorNew-AADIntBackdoor cmdlets。

将身份验证证明从恶意联合域传递到受攻击的 Microsoft Entra ID 的联合协议可以是 WS-Federation 或 SAML。对于 SAML 而言,这种攻击类似于“Golden SAML”攻击,主要区别如下:

  • 攻击者不是窃取现有联合功能的合法 SAML 签名密钥,而是使用自己的密钥注入他们的新域。
  • 攻击者使用令牌进行联合,而不是访问某个服务。

microsoft.directory/domains/federation/update 权限可授予修改联合域的能力。截至 2023 年 1 月,包括潜在的自定义角色在内,以下内置 Microsoft Entra 角色具有此权限:

APT29 黑客组织在 2020 年 12 月滥用这种方法对 SolarWinds 发起了臭名昭著的“Solorigate”攻击,MicrosoftMandiant 对此均有记录。

解决方案

此发现表明存在来自攻击者的潜在后门程序​。启动配有取证分析的事件响应程序​,以确定所指控的攻击,识别攻击者和攻击时间,并查明可能入侵的程度。

Microsoft 认为联合是 Microsoft Entra ID 中的合法功能,而此攻击滥用了这项功能。Microsoft 强调,攻击者必须获得高级特权才能创建此后门程序。出于此原因,您应该限制具有修改联合设置功能的管理员的数量​。如要获取更多信息,请参阅漏洞描述中的特定权限和角色列表。

如要检查 Azure 门户中的联合域,请打开“自定义域名” 模块,并在“联合”列中查找带有复选标记的域名。潜在恶意域的名称与您在发现结果中看到的名称相同。但是与 MS 图形 API 不同,Azure 门户不会显示联合技术的细节。

来自 MS 图形 API 的 PowerShell cmdlet 允许您列出带有 Get-MgDomain 的域以及带有 Get-MgDomainFederationConfiguration` 的联合配置:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

您为最终取证分析而保存证据​之后:

指标详细信息

名称: 已知的联合域后门程序

代码名称: KNOWN-FEDERATED-DOMAIN-BACKDOOR

严重程度: Critical

MITRE ATT&CK 信息:

技术: T1484.002, T1606.002

More: Modify Trusted Domains [Mandiant], Security vulnerability in Azure AD & Office 365 identity federation, How to create a backdoor to Azure AD - part 1: Identity federation, Deep-dive to Azure Active Directory Identity Federation