语言:
Microsoft Entra 租户可以与外部域联合,以便与另一个域建立信任,从而进行身份验证和授权。组织使用联合功能,将 Active Directory 用户的身份验证委派到本地 Active Directory Federation Services (AD FS)。(请注意:外部域不是 Active Directory“域”。) 但是,如果恶意攻击者在 Microsoft Entra ID 中获得了更高的特权,他们可以添加自己的联合域或编辑现有的联合域来添加由自己设置的辅助设置,从而滥用这种联合机制来创建后门程序。这种攻击将导致以下操作:
此风险暴露指标根据后门域创建或转换的某些特征,可检测 AADInternals 黑客工具包创建的联合域后门程序,尤其是 ConvertTo-AADIntBackdoor
和 New-AADIntBackdoor
cmdlets。
将身份验证证明从恶意联合域传递到受攻击的 Microsoft Entra ID 的联合协议可以是 WS-Federation 或 SAML。对于 SAML 而言,这种攻击类似于“Golden SAML”攻击,主要区别如下:
microsoft.directory/domains/federation/update
权限可授予修改联合域的能力。截至 2023 年 1 月,包括潜在的自定义角色在内,以下内置 Microsoft Entra 角色具有此权限:
APT29 黑客组织在 2020 年 12 月滥用这种方法对 SolarWinds 发起了臭名昭著的“Solorigate”攻击,Microsoft 和 Mandiant 对此均有记录。
此发现表明存在来自攻击者的潜在后门程序。启动配有取证分析的事件响应程序,以确定所指控的攻击,识别攻击者和攻击时间,并查明可能入侵的程度。
Microsoft 认为联合是 Microsoft Entra ID 中的合法功能,而此攻击滥用了这项功能。Microsoft 强调,攻击者必须获得高级特权才能创建此后门程序。出于此原因,您应该限制具有修改联合设置功能的管理员的数量。如要获取更多信息,请参阅漏洞描述中的特定权限和角色列表。
如要检查 Azure 门户中的联合域,请打开“自定义域名” 模块,并在“联合”列中查找带有复选标记的域名。潜在恶意域的名称与您在发现结果中看到的名称相同。但是与 MS 图形 API 不同,Azure 门户不会显示联合技术的细节。
来自 MS 图形 API 的 PowerShell cmdlet 允许您列出带有 Get-MgDomain
的域以及带有 Get-MgDomainFederationConfiguration
` 的联合配置:
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
您为最终取证分析而保存证据之后:
Remove-MgDomain
将其移除。Remove-MgDomainFederationConfiguration
移除联合配置。名称: 已知的联合域后门程序
代码名称: KNOWN-FEDERATED-DOMAIN-BACKDOOR
严重程度: Critical
More: Modify Trusted Domains [Mandiant], Security vulnerability in Azure AD & Office 365 identity federation, How to create a backdoor to Azure AD - part 1: Identity federation, Deep-dive to Azure Active Directory Identity Federation