在 Entra ID 中具有特权角色的混合帐户（即从 Active Directory 同步）会构成安全风险，因为这类帐户允许入侵 AD 的攻击者转而入侵 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。

如果贵公司已设置<a href="https://learn.microsoft.com/en-us/entra/identity/hybrid/what-is-inter-directory-provisioning">目录同步</a>，例如与“<a href="https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-azure-ad-connect">Microsoft Entra Connect</a>”（之前称为“Azure AD Connect”）或“<a href="https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/what-is-cloud-sync">Microsoft Entra Cloud Sync</a>”（之前称为“Azure AD Connect Cloud Sync”）同步，以将部分用户（以及其他用户）从本地 Active Directory 同步到云 Entra ID，您即可为 Entra ID 中的特权角色使用混合 AD 帐户。但是，这样做会为攻击者创造契机，使其能在入侵 Active Directory 后延伸对 Entra ID 的恶意控制​。他们会运用多项技术冒充任何 AD 用户，也会将这种冒充方式用于 Entra ID。
因此，Microsoft 在其文章“<a href="https://learn.microsoft.com/en-us/entra/architecture/protect-m365-from-on-premises-attacks">保护 Microsoft 365 免受本地攻击</a>”中对这种做法提出了警告，认为“Microsoft 365 中不应存在具有管理特权的本地帐户”，并建议您确保“任何本地帐户均不具有对 Microsoft 365 的提升权限”。

Modify Authentication Process: Hybrid Identity

[MITRE ATT&CK®] T1556.007 (Modify Authentication Process: Hybrid Identity)

与 AD（混合帐户）同步的特权 Entra 帐户

Protecting Microsoft 365 from on-premises attacks

Microsoft Entra ID 可以向另一个身份验证提供商委派身份验证：一个称为“联合”的功能。获得更高特权的攻击者可以通过添加恶意联合域来滥用此合法特性，从而实现持久性和特权提升。

Microsoft Entra 租户可以<a href="https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-fed">与外部域联合</a>，以便与另一个域建立信任，从而进行身份验证和授权。组织使用联合功能，将 Active Directory 用户的身份验证委派到本地 Active Directory Federation Services (AD FS)。（请注意：外部域不是 Active Directory“域”。）
但是，如果恶意攻击者在 Microsoft Entra ID 中获得了更高的特权，他们可以添加自己的联合域或编辑现有的联合域来添加由自己设置的辅助设置，从而滥用这种联合机制来创建后门程序​。这种攻击将导致以下操作：
<ul>
<li>冒充​：恶意联合域可以生成令牌，允许攻击者以任何 Microsoft Entra 用户的身份来进行身份验证，且无需知道或重置密码。这包括“仅限云”用户（并非混合用户）和外部用户。这允许对 Microsoft Entra ID、Microsoft 365 (O365)，以及其他依赖 Microsoft Entra ID 作为身份验证提供商 (SSO) 的应用程序进行攻击，即便您已强制使用 MFA（见下方）。</li>
<li>特权提升​：攻击者可以冒充任何用户，尤其是特权 Microsoft Entra 用户。</li>
<li>多因素身份验证绕过​：受信任的外部域可以利用联合身份验证<a href="https://learn.microsoft.com/en-us/graph/api/resources/internaldomainfederation?view=graph-rest-beta#federatedidpmfabehavior-values">处理强制执行 MFA 的角色</a>。然后，恶意联合域可以错误地声称伪造的身份验证使用了受 Microsoft Entra ID 信任的 MFA，并且不会再次提示进行 MFA。即便在受到 MFA 保护的情况下，攻击者也可以通过这种方法冒充所有用户。</li>
<li>持久性​：添加恶意联合域是一种隐蔽的技术，允许入侵 Microsoft Entra 租户并占用高级特权的攻击者稍后重新获得访问权限。</li>
</ul>
此风险暴露指标根据后门域创建或转换的某些特征，可检测 <a href="https://aadinternals.com/">AADInternals</a> 黑客工具包创建的联合域后门程序，尤其是 <code>ConvertTo-AADIntBackdoor</code> 和 <code>New-AADIntBackdoor</code> cmdlets。
将身份验证证明从恶意联合域传递到受攻击的 Microsoft Entra ID 的联合协议可以是 WS-Federation 或 SAML。对于 SAML 而言，这种攻击类似于“<a href="https://www.mandiant.com/sites/default/files/2021-11/wp-m-unc2452-000343.pdf#page=9">Golden SAML</a>”攻击，主要区别如下：
<ul>
<li>攻击者不是窃取现有联合功能的合法 SAML 签名密钥，而是使用自己的密钥注入他们的新域。</li>
<li>攻击者使用令牌进行联合，而不是访问某个服务。</li>
</ul>
<code>microsoft.directory/domains/federation/update</code> 权限可授予修改联合域的能力。截至 2023 年 1 月，包括潜在的自定义角色在内，以下内置 Microsoft Entra 角色具有此权限：
<ul>
<li>“<a href="https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#global-administrator">全局管理员</a>”</li>
<li>“<a href="https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#security-administrator">安全管理员</a>”</li>
<li>“<a href="https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#hybrid-identity-administrator">混合身份管理员</a>”</li>
<li>“<a href="https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#external-identity-provider-administrator">外部身份验证提供商管理员</a>”</li>
</ul>
APT29 黑客组织在 2020 年 12 月滥用这种方法对 SolarWinds 发起了臭名昭著的“Solorigate”攻击，<a href="https://www.microsoft.com/en-us/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinate-protection-against-solorigate/">Microsoft</a> 和 <a href="https://www.mandiant.com/sites/default/files/2021-11/wp-m-unc2452-000343.pdf#page=23">Mandiant </a>对此均有记录。

Modify Trusted Domains [Mandiant]

Security vulnerability in Azure AD & Office 365 identity federation

How to create a backdoor to Azure AD - part 1: Identity federation

Deep-dive to Azure Active Directory Identity Federation

Domain Policy Modification: Domain Trust Modification

Forge Web Credentials: SAML Tokens

[MITRE ATT&CK®] T1484.002 (Domain Policy Modification: Domain Trust Modification)

[MITRE ATT&CK®] T1606.002 (Forge Web Credentials: SAML Tokens)

已知的联合域后门程序

Microsoft 在 Entra ID 中公开 API，以允许第三方应用程序在 Microsoft 服务中执行操作。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。因此，必须仔细审查他们的分配情况。

Microsoft 通过 Entra ID 中的应用程序公开 API，以允许第三方应用程序在 Microsoft Entra ID、Microsoft 365 (O365)、Azure 云等产品中执行操作。“API 权限”保护这些 API，使其免受非法访问。只有需要这些 API 的服务主体才能拥有这些 API。权限批准被称为“应用程序角色分配”或“同意授予”。
部分 Microsoft API 的一些权限（见下方）可能对整个 Microsoft Entra 租户造成严重威胁​，因为具有这些权限的服务主体会拥有很高的权限，同时也比高权限的管理员角色（例如，全局管理员）等更加谨慎。滥用这些权限可能导致攻击者绕过多因素身份验证 (MFA) 并阻止用户密码重置。
在合法的情况下，权限会增加租户的攻击面。在不合法的情况下，权限可能是升级特权或持久性方法的恶意尝试。
如 Microsoft 文档<a href="https://learn.microsoft.com/en-us/entra/identity-platform/permissions-consent-overview">权限和同意简介</a>所述，Microsoft Entra ID 有两种类型的 API 权限：
<ul>
<li>应用程序权限：同意来自管理员，权限适用于所有租户。</li>
<li>委派权限：同意来自代表整个组织的用户或管理员。请注意，这些权限会基于登录用户的特权（即权限和用户特权级别的交集）限制应用程序执行操作的能力。因此，正如<a href="https://learn.microsoft.com/en-us/security/zero-trust/develop/developer-strategy-delegated-permission">开发委派权限策略</a>中所述，这些委派权限的危险性取决于应用程序用户的实际权限。例如：如果普通用户委派“Group.ReadWrite.All”权限，实际上这只允许应用程序修改用户可以编辑的组，而不是所有的组。</li>
</ul>
此风险暴露指标会检查这两种类型的权限。此指标只报告有关服务主体的内容，而非用户的内容，因为 API 权限仅应用于服务主体。
此风险暴露指标也重点关注允许访问<a href="https://learn.microsoft.com/en-us/graph/overview"> Microsoft 图形 API </a>和旧版<a href="https://learn.microsoft.com/en-us/graph/migrate-azure-ad-graph-overview"> Azure AD 图形 API</a> 的权限。以下危险权限尤其会造成安全风险：
<ul>
<li><code>RoleManagement.ReadWrite.Directory</code>：允许攻击者将自己提升为全局管理员角色</li>
<li><code>AppRoleAssignment.ReadWrite.All</code>：允许攻击者授予自己<code>RoleManagement.ReadWrite.Directory</code>权限（见上文）。</li>
</ul>
具有这些危险权限的合法应用程序请求的权限可能过于宽泛。这也可以作为一种被称为“非法同意授予”的网络钓鱼攻击的信号，在这种攻击中，攻击者会成功获得管理员同意。

Phishing

Steal Application Access Token

Use Alternate Authentication Material: Application Access Token

[MITRE ATT&CK®] T1566 (Phishing)

[MITRE ATT&CK®] T1528 (Steal Application Access Token)

[MITRE ATT&CK®] T1550.001 (Use Alternate Authentication Material: Application Access Token)

影响租户的危险 API 权限

第一方服务主体拥有强大的权限，然而因为他们处于隐藏状态、数量众多，而且为 Microsoft 所有，所以会被忽略。攻击者会向这些主体添加凭据，以隐蔽的方式利用主体的特权来提升特权和获得持久性特权，从而获益。

第一方服务主体（企业应用程序）来自 Microsoft 的应用程序（应用程序注册）。他们中的大多数在 Microsoft Entra ID 中拥有一些在安全检查过程中经常被忽略的敏感权限。攻击者可以借此向这些主体添加凭据，以隐蔽的方式利用主体的特权获益。​
因为拥有应用程序管理员角色的主体可以将凭据添加至应用程序（包括拥有更高特权的应用程序），所以这项技术提供持久性​能力和特权提升​。
除极少数情况（参阅“建议”）外，第一方服务主体不应该拥有任何凭据。
APT29 威胁组织在 2020 年 12 月滥用这种方法对 SolarWinds 发起了臭名昭著的“Solorigate”攻击，<a href="https://www.microsoft.com/en-us/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinate-protection-against-solorigate/">Microsoft</a> 和 <a href="https://www.mandiant.com/sites/default/files/2021-11/wp-m-unc2452-000343.pdf#page=29">Mandiant</a> 对此均有记录。

Azure AD privilege escalation - Taking over default application permissions as Application Admin

Account Manipulation: Additional Cloud Credentials

[MITRE ATT&CK®] T1098.001 (Account Manipulation: Additional Cloud Credentials)

具有凭据的第一方服务主体

MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。

多因素身份验证 (MFA) 或之前的双因素身份验证 (2FA) 可为帐户提供强大的保护，防止出现弱密码或泄露密码​。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。
攻击者通过任意方法获得用户密码后，MFA 会通过要求额外的因素（例如来自移动应用程序且有时效的代码、物理令牌、生物识别功能等）来阻止身份验证。
在帐户没有已注册的 MFA 方法，或者您在没有注册 MFA 方法的情况下强制执行 MFA （上述两种情况可能会允许具有密码的攻击者注册他们自己的 MFA 方法并造成安全风险）时，此风险暴露指标会向您发出警报。然而，此风险暴露指标无法报告 Microsoft Entra ID 是否强制执行 MFA，因为条件访问策略可能根据动态标准要求执行 MFA。
有关特权帐户的内容，请参见相关的 IOE“特权帐户缺少 MFA”。

检测

风险暴露指标

High

Critical

High

High

Medium