Bekannte Verbunddomänen-Backdoor

Ein Microsoft Entra-Mandant kann einen Verbund mit einer externen Domäne einrichten, um zu Authentifizierungs- und Autorisierungszwecken eine Vertrauensbeziehung zu einer anderen Domäne herzustellen. IT-Abteilungen nutzen die Verbundfunktion, um die Authentifizierung für Active Directory-Benutzer an ihre On-Premises-Active Directory Federation Services (AD FS) zu delegieren. (Hinweis: Die externe Domäne ist keine Active Directory-„Domäne“.) Wenn sich jedoch böswillige Akteure erhöhte Rechte in Microsoft Entra ID verschaffen, können sie diesen Verbundmechanismus missbrauchen, um eine Backdoor zu erstellen. Hierzu fügen sie ihre eigene Verbunddomäne hinzu oder bearbeiten eine vorhandene Verbunddomäne, um eine zweite Konfiguration mit ihren eigenen Einstellungen hinzufügen. Ein solcher Angriff ermöglicht außerdem die Durchführung folgender Aktionen:

• Identitätswechsel: Die bösartige Verbunddomäne kann Token generieren, um es Angreifern zu erlauben, sich als beliebiger Microsoft Entra-Benutzer zu authentifizieren, ohne dessen Passwort zu kennen oder zurückzusetzen. Dies schließt auch „Nur-Cloud“-Benutzer (nicht hybrid) und externe Benutzer ein. Dadurch werden Angriffe auf Microsoft Entra ID, Microsoft 365 (O365) und andere Anwendungen möglich, die Microsoft Entra ID als Identitätsanbieter nutzen (SSO), selbst wenn Sie MFA erzwingen (siehe unten).
• Rechteausweitung: Der Angreifer kann sich durch Identitätswechsel als ein beliebiger Benutzer ausgeben, insbesondere privilegierte Microsoft Entra-Benutzer.
• Umgehung der Multifaktor-Authentifizierung: Bei der Verbundauthentifizierung übernimmt die vertrauenswürdige externe Domäne die Aufgabe, MFA durchzusetzen. Die bösartige Verbunddomäne kann dann fälschlicherweise behaupten, dass die gespoofte Authentifizierung MFA verwendet hat. Microsoft Entra ID vertraut dieser Behauptung und fordert keine weitere MFA mehr an. So kann ein Angreifer die Identität aller Benutzer annehmen, selbst wenn MFA-Schutz vorhanden ist.
• Persistenz: Das Hinzufügen einer bösartigen Verbunddomäne ist eine Tarntechnik, mit der Angreifer, die den Microsoft Entra-Mandanten kompromittiert und sich hohe Berechtigungen angeeignet haben, später wieder Zugriff erhalten können.

Dieser Indicator of Exposure erkennt Verbunddomänen-Backdoors, die vom Hacking-Toolkit AADInternals generiert werden, insbesondere die Cmdlets ConvertTo-AADIntBackdoor und New-AADIntBackdoor. Zur Erkennung werden bestimmte Merkmale der erstellten oder konvertierten Backdoor-Domäne herangezogen.

Das Verbundprotokoll, dass den Authentifizierungsnachweis von der bösartigen Verbunddomäne an das angegriffene Microsoft Entra ID überträgt, kann entweder WS-Federation oder SAML sein. Bei SAML ähnelt der Angriff einem „Golden SAML“-Angriff, mit diesen wesentlichen Unterschieden:

• Anstatt den legitimen SAML-Signaturschlüssel eines vorhandenen Verbunds zu stehlen, schleusen die Angreifer die neue Domäne mit ihrem eigenen Schlüssel ein.
• Angreifer verwenden das Token zum Einrichten eines Verbunds, anstatt zum Zugriff auf einen Dienst.

Die Berechtigung microsoft.directory/domains/federation/update gestattet es, die Verbunddomänen zu ändern. Seit Januar 2023 verfügen die folgenden integrierten Microsoft Entra-Rollen über diese Berechtigung, zusätzlich zu potenziellen benutzerdefinierten Rollen:

• „Globaler Administrator“
• „Sicherheitsadministrator“
• „Hybrididentitätsadministrator“
• „Externer Identitätsanbieteradministrator“

Die APT29-Bedrohungsgruppe hat diese Methode im berüchtigten Angriff auf SolarWinds namens „Solorigate“ im Dezember 2020 missbraucht, wie von Microsoft und von Mandiant dokumentiert.

Dieses Ergebnis weist auf eine von einem Angreifer erzeugte potenzielle Backdoor hin. Leiten Sie ein Incident Response-Verfahren mit einer forensischen Analyse ein, um den mutmaßlichen Angriff zu bestätigen und den Autor und die Zeit des Angriffs sowie das Ausmaß des möglichen Eindringens zu ermitteln.

Microsoft betrachtet die Verbundfunktion als legitime Funktion von Microsoft Entra ID, und dieser Angriff missbraucht dieses Funktion. Microsoft betont, dass ein Angreifer hohe Rechte erlangen muss, um diese Backdoor zu erzeugen. Aus diesem Grund sollten Sie die Anzahl der Administratoren beschränken, die über Berechtigungen zum Ändern von Verbundeinstellungen verfügen. Weitere Informationen finden Sie unter der spezifischen Berechtigung und Liste der Rollen in der Beschreibung der Schwachstelle.

Wenn Sie die Liste der Verbunddomänen im Azure-Portal überprüfen möchten, öffnen Sie das Blatt „Benutzerdefinierte Domänennamen“ und suchen Sie in der Spalte „Verbund“ nach Domänennamen mit einem Häkchen. Der Name der potenziell bösartigen Domäne ist mit dem Namen im Ergebnis identisch. Im Gegensatz zur MS Graph API werden im Azure-Portal keine technischen Details zum Verbund angezeigt.

PowerShell-Cmdlets aus der MS Graph API ermöglichen Ihnen die Auflistung der Domänen mit Get-MgDomain und ihrer Verbundkonfiguration mit Get-MgDomainFederationConfiguration`:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

Nach dem Speichern von Beweisen für eine spätere forensische Analyse gehen Sie folgendermaßen vor:

• Wenn die Domäne nicht legitim ist, entfernen Sie sie mit Remove-MgDomain.
• Wenn die Domäne legitim ist, die Verbundkonfiguration jedoch bösartig, entfernen Sie die Verbundkonfiguration mit Remove-MgDomainFederationConfiguration.

Name: Bekannte Verbunddomänen-Backdoor

Codename: KNOWN-FEDERATED-DOMAIN-BACKDOOR

Schweregrad: Critical