Beschreibung

Ein Microsoft Entra-Mandant kann einen Verbund mit einer externen Domäne einrichten, um zu Authentifizierungs- und Autorisierungszwecken eine Vertrauensbeziehung zu einer anderen Domäne herzustellen. IT-Abteilungen nutzen die Verbundfunktion, um die Authentifizierung für Active Directory-Benutzer an ihre On-Premises-Active Directory Federation Services (AD FS) zu delegieren. (Hinweis: Die externe Domäne ist keine Active Directory-„Domäne“.) Wenn sich jedoch böswillige Akteure erhöhte Rechte in Microsoft Entra ID verschaffen, können sie diesen Verbundmechanismus missbrauchen, um eine Backdoor zu erstellen. Hierzu fügen sie ihre eigene Verbunddomäne hinzu oder bearbeiten eine vorhandene Verbunddomäne, um eine zweite Konfiguration mit ihren eigenen Einstellungen hinzufügen.

Backdoors in Verbunddomänen basieren auf einem speziell gefälschten Tokensignaturzertifikat, das in die Konfiguration eingefügt wird und entweder über ein primäres oder sekundäres Tokensignaturzertifikat festgelegt wurde. Bei Verwendung gängiger Open-Source-Angriffstools (wie AADInternals mit dem ConvertTo-AADIntBackdoor-Cmdlet) gibt es einige Anzeichen, die auf ein verdächtiges Ereignis hinweisen.

Im Gegensatz zum Indicator of Exposure (IoE) „Bekannte Verbunddomänen-Backdoor“ gibt dieser IoE nicht unbedingt Hinweise auf Backdoors, die von einem Angreifer erstellt wurden. Stattdessen stellt er eine umfassende Liste aller Verbunddomänen in Ihrem Entra ID-Mandanten bereit, sodass Sie überprüfen können, ob der Aussteller-URI für die einzelnen Domänen mit dem von Ihnen konfigurierten externen Identitätsanbieter (IdP) übereinstimmt. In der Regel ist dies Ihr lokaler AD FS-Server. Der Aussteller-URI stellt die URL des vertrauenswürdigen Verbundservers dar.

Wie von Microsoft erläutert, ist der Standardaussteller für den Verbund zwischen einer Domäne und AD FS http://<ADFSServiceFQDN>/adfs/services/trust. Dieser Wert lautet jedoch anders, wenn Sie einen anderen Verbundidentitätsanbieter verwenden.

Die Berechtigungen microsoft.directory/domains/allProperties/allTasks und microsoft.directory/domains/federation/update gewähren Administratoren die Möglichkeit, die Verbunddomänen zu ändern. Seit November 2023 verfügen die folgenden integrierten Microsoft Entra-Rollen zusätzlich zu potenziellen benutzerdefinierten Rollen über diese Berechtigung:

Lösung

Überprüfen Sie die Attribute der Verbunddomäne, um ihre Legitimität zu bewerten und so zu bestätigen, dass Sie sie absichtlich mit der angegebenen Konfiguration in Ihrem Identitätsanbieter erstellt haben. Überprüfen Sie insbesondere Attribute wie den Aussteller-URI und die Attribute für Aussteller und Antragsteller sowohl des primären als auch des sekundären Tokensignaturzertifikats. Wenn alles legitim aussieht, können Sie die Verbunddomäne durch einen Ausschluss ignorieren.

Wenn Sie hingegen Attribute entdecken, die keinem vertrauenswürdigen Verbundidentitätsanbieter (IdP) aus Ihrer Umgebung entsprechen, weist dies auf eine potenzielle Backdoor eines Angreifers hin. Leiten Sie ein Incident Response-Verfahren mit einer forensischen Analyse ein, um den mutmaßlichen Angriff zu bestätigen und den Ursprung und die Zeit des Angriffs sowie das Ausmaß des möglichen Eindringens zu ermitteln. Angesichts der erhöhten Rechte, die für die Installation dieser Art von Backdoor erforderlich sind (in der Regel ist die Rolle „Globaler Administrator“ erforderlich, neben weniger bekannten Entra-Rollen), ist eine potenzielle vollständige Kompromittierung von Entra ID wahrscheinlich.

Wenn Sie die Liste der Verbunddomänen im Azure-Portal anzeigen möchten, navigieren Sie zum Blatt „Benutzerdefinierte Domänennamen“ und suchen Sie in der Spalte „Verbund“ nach Domänennamen mit einem Häkchen. Der Name der potenziell bösartigen Domäne stimmt mit dem Namen in der Feststellung überein. Im Gegensatz zur MS Graph API werden im Azure-Portal keine technischen Details zum Verbund angezeigt.

PowerShell-Cmdlets aus der MS Graph-API ermöglichen Ihnen die Auflistung der Domänen mit Get-MgDomain und ihrer Verbundkonfiguration mit Get-MgDomainFederationConfiguration wie folgt:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

Nach dem Speichern von Beweisen für eine spätere forensische Analyse gehen Sie folgendermaßen vor:

Sie können dem Behebungsleitfaden „Notfallrotation von AD FS-Zertifikaten“ von Microsoft folgen.

Stellen Sie zum Bestätigen des Vorgangs sicher, dass die gemeldete Feststellung behoben wurde nicht mehr in diesem Indicator of Exposure aufgeführt wird.

Darüber hinaus ist es wichtig, damit zu rechnen, dass der Angreifer möglicherweise andere Persistenzmechanismen wie Backdoors eingerichtet hat. Bitten Sie Experten für die Vorfallsreaktion um Unterstützung, um alle zusätzlichen Bedrohungen zu erkennen und zu beseitigen.

Beachten Sie, dass bei diesem Angriffstyp die Verbundfunktion ausgenutzt wird, eine normale und legitime Funktion von Microsoft Entra ID. Beschränken Sie die Anzahl der Administratoren, die Verbundeinstellungen ändern können, um künftige Angriffe zu verhindern. Dies ist eine proaktive Maßnahme, da ein Angreifer über hohe Berechtigungen verfügen muss, um eine solche Backdoor zu erstellen. In der Beschreibung des Sicherheitsrisikos finden Sie weitere Informationen zu bestimmten Berechtigungen und eine Liste der Rollen.

Indikatordetails

Name: Liste der Verbunddomänen

Codename: FEDERATED-DOMAINS-LIST

Schweregrad: Low

Typ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK-Informationen: