Erkennungen

Fehlende Übereinstimmung der Verbundsignaturzertifikate

HIGH

Sprache:

Beschreibung

Ein Microsoft Entra-Mandant kann einen Verbund mit einer externen Domäne einrichten, um zu Authentifizierungs- und Autorisierungszwecken eine Vertrauensbeziehung zu einer anderen Domäne herzustellen. IT-Abteilungen nutzen die Verbundfunktion, um die Authentifizierung für Active Directory-Benutzer an ihre On-Premises-Active Directory Federation Services (AD FS) zu delegieren. (Hinweis: Die externe Domäne ist keine Active Directory-„Domäne“.) Wenn sich jedoch böswillige Akteure erhöhte Rechte in Microsoft Entra ID verschaffen, können sie diesen Verbundmechanismus missbrauchen, um eine Backdoor zu erstellen, indem sie der legitimen Verbundkonfiguration ihr eigenes bösartiges sekundäres Tokensignaturzertifikat mit ihren eigenen Einstellungen hinzufügen. Dieser Angriff ermöglicht die Durchführung folgender Aktionen:

  • Identitätswechsel: Das bösartige sekundäre Tokensignaturzertifikat kann Token generieren, um es Angreifern zu erlauben, sich als beliebiger Microsoft Entra-Benutzer zu authentifizieren, ohne dessen Passwort zu kennen oder zurückzusetzen. Dies schließt auch „Nur-Cloud“-Benutzer (nicht hybrid) und externe Benutzer ein. Dadurch werden Angriffe auf Microsoft Entra ID, Microsoft 365 (O365) und andere Anwendungen möglich, die Microsoft Entra ID als Identitätsanbieter nutzen (SSO), selbst wenn Sie MFA erzwingen (siehe unten).
  • Rechteausweitung: Der Angreifer kann sich durch Identitätswechsel als ein beliebiger Benutzer ausgeben, insbesondere privilegierte Microsoft Entra-Benutzer.
  • Umgehung der Multifaktor-Authentifizierung: Bei der Verbundauthentifizierung übernimmt die vertrauenswürdige externe Domäne die Aufgabe, MFA durchzusetzen. Das bösartige sekundäre Tokensignaturzertifikat kann dann fälschlicherweise bestätigen, dass die gespoofte Authentifizierung MFA verwendet hat. Microsoft Entra ID vertraut dieser Behauptung und fordert keine weitere MFA mehr an. So kann ein Angreifer die Identität aller Benutzer vortäuschen, selbst wenn MFA-Schutz vorhanden ist.
  • Persistenz: Das Hinzufügen eines bösartigen sekundären Tokensignaturzertifikats zu einer vorhandenen Verbunddomäne ist eine Tarntechnik, mit der Angreifer, die den Microsoft Entra-Mandanten kompromittiert und sich hohe Berechtigungen angeeignet haben, später wieder Zugriff erhalten können.

Dieser Indicator of Exposure erkennt jede Nichtübereinstimmung in den Attributen für Antragsteller oder Aussteller zwischen dem primären und dem sekundären Tokensignaturzertifikat (falls vorhanden), da dies darauf hinweisen könnte, dass das sekundäre Tokensignaturzertifikat nicht legitim und potenziell bösartig ist.

Siehe auch den zugehörigen Indicator of Exposure „Bekannte Verbunddomänen-Backdoor“.

Das Verbundprotokoll, das den Authentifizierungsnachweis von der kompromittierten Verbunddomäne an das angegriffene Microsoft Entra ID überträgt, kann entweder WS-Federation oder SAML sein. Bei Verwendung von SAML ähnelt der Angriff einem „Golden SAML“-Angriff, mit diesen wesentlichen Unterschieden:

  • Anstatt den legitimen SAML-Signaturschlüssel eines vorhandenen Verbunds zu stehlen, schleusen die Angreifer ihr sekundäres Signaturzertifikat mit ihrem eigenen Schlüssel ein.
  • Um sich nicht autorisierten Zugriff auf ein System zu verschaffen, präsentieren Angreifer das gefälschte Token dem Verbunddienst, anstatt einem bestimmten Dienst.

Die Berechtigungen microsoft.directory/domains/allProperties/allTasks und microsoft.directory/domains/federation/update gewähren Administratoren die Möglichkeit, die Verbunddomänen zu ändern. Seit November 2023 verfügen die folgenden integrierten Microsoft Entra-Rollen zusätzlich zu potenziellen benutzerdefinierten Rollen über diese Berechtigung:

Die APT29-Bedrohungsgruppe hat diese Methode im berüchtigten Angriff auf SolarWinds namens „Solorigate“ im Dezember 2020 missbraucht, wie von Microsoft und von Mandiant dokumentiert. Diese Technik ist auch in mehreren Artikeln dokumentiert: „Security vulnerability in Azure AD & Office 365 identity federation“, „How to create a backdoor to Azure AD - part 1: Identity federation“ und „Deep-dive to Azure Active Directory Identity Federation“.

Lösung

Dieses Ergebnis weist auf eine von einem Angreifer erzeugte potenzielle Backdoor hin.

Untersuchen Sie zunächst das sekundäre Tokensignaturzertifikat und achten Sie genau auf alle gemeldeten Attribut(e), die nicht mit dem primären Zertifikat übereinstimmen. Überprüfen Sie die Legitimität dieser Attribute in Ihrer Organisation. Bitten Sie Ihre Entra ID-Administratoren, alle Änderungen zu bestätigen, die an der Verbundkonfiguration der gemeldeten Domäne, die dieses sekundäre Zertifikat enthält, vorgenommen wurden.

Ein sekundäres Tokensignaturzertifikat wird im Allgemeinen verwendet, um das primäre Zertifikat zu rotieren, wenn dieses demnächst abläuft. Es wird nur dann zu einem Sicherheitsproblem, wenn es entweder eindeutig bösartig ist oder von Administratoren nicht erkannt wird und somit als potenziell bösartig gilt. Leiten Sie in solchen Fällen ein Incident Response-Verfahren mit einer forensischen Analyse ein, um den mutmaßlichen Angriff zu bestätigen und den Ursprung und die Zeit des Angriffs sowie das Ausmaß des möglichen Eindringens zu ermitteln.

Wenn Sie die Liste der Verbunddomänen im Azure-Portal anzeigen möchten, navigieren Sie zum Blatt „Benutzerdefinierte Domänennamen“ und suchen Sie in der Spalte „Verbund“ nach Domänennamen mit einem Häkchen. Der Name der potenziell bösartigen Domäne stimmt mit dem Namen in der Feststellung überein. Im Gegensatz zur MS Graph API werden im Azure-Portal keine technischen Details zum Verbund angezeigt.

PowerShell-Cmdlets aus der MS Graph-API ermöglichen Ihnen die Auflistung der Domänen mit Get-MgDomain und ihrer Verbundkonfiguration mit Get-MgDomainFederationConfiguration wie folgt:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

Nach dem Speichern von Beweisen für eine spätere forensische Analyse sollten Sie das bösartige sekundäre Tokensignaturzertifikat entfernen. Da Microsoft keine direkte Methode zum Entfernen dieses speziellen Zertifikats aus der Verbundkonfiguration anbietet, ist es am einfachsten, den Domänenverbund zu deaktivieren oder die betroffene Domäne vollständig zu entfernen, um ihre Verbundkonfiguration zu löschen, und dann wieder zu aktivieren. Achten Sie jedoch auf den Zeitpunkt, da sich Benutzer, die diese Verbunddomäne nutzen, während dieses Vorgangs nicht authentifizieren können. Wenn Sie den Verbund mit Microsoft Entra Connect konfiguriert haben, führen Sie den Vorgang mit diesem Tool durch. Wenn Sie dies manuell tun, verwenden Sie Update-MgDomainFederationConfiguration und dieselbe Methode wie ursprünglich, um die erneute Einrichtung durchzuführen. Sie können dem Behebungsleitfaden „Notfallrotation von AD FS-Zertifikaten“ von Microsoft folgen.

Stellen Sie zum Bestätigen des Vorgangs sicher, dass das gemeldete Ergebnis nicht mehr in diesem Indicator of Exposure aufgeführt wird. Darüber hinaus ist es wichtig, nicht zu vergessen, dass der Angreifer möglicherweise andere Persistenzmechanismen wie beispielsweise Backdoors eingerichtet hat. Bitten Sie Experten für die Vorfallsreaktion um Unterstützung, um diese zusätzlichen Bedrohungen zu erkennen und zu beseitigen.

Beachten Sie, dass bei diesem Angriffstyp Verbundfunktionen ausgenutzt werden, die eine normale und legitime Funktion von Microsoft Entra ID sind. Beschränken Sie die Anzahl der Administratoren, die Verbundeinstellungen ändern können, um künftige Angriffe zu verhindern. Dies ist eine proaktive Maßnahme, da ein Angreifer über hohe Berechtigungen verfügen muss, um eine solche Backdoor zu erstellen. In der Beschreibung des Sicherheitsrisikos finden Sie weitere Informationen zu bestimmten Berechtigungen und eine Liste der Rollen.

Indikatordetails

Name: Fehlende Übereinstimmung der Verbundsignaturzertifikate

Codename: FEDERATION-SIGNING-CERTIFICATES-MISMATCH

Schweregrad: High

Typ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK-Informationen: