Sprache:
Ein Microsoft Entra-Mandant kann einen Verbund mit einer externen Domäne einrichten, um zu Authentifizierungs- und Autorisierungszwecken eine Vertrauensbeziehung zu einer anderen Domäne herzustellen. IT-Abteilungen nutzen die Verbundfunktion, um die Authentifizierung für Active Directory-Benutzer an ihre On-Premises-Active Directory Federation Services (AD FS) zu delegieren. (Hinweis: Die externe Domäne ist keine Active Directory-„Domäne“.) Wenn sich jedoch böswillige Akteure erhöhte Rechte in Microsoft Entra ID verschaffen, können sie diesen Verbundmechanismus missbrauchen, um eine Backdoor zu erstellen. Hierzu fügen sie ihre eigene Verbunddomäne hinzu oder bearbeiten eine vorhandene Verbunddomäne, um eine zweite Konfiguration mit ihren eigenen Einstellungen hinzufügen. Dieser Angriff ermöglicht außerdem die Durchführung folgender Aktionen:
Dieser Indicator of Exposure erkennt Verbunddomänen-Backdoors, die vom Hacking-Toolkit AADInternals generiert werden, insbesondere die Cmdlets ConvertTo-AADIntBackdoor
und New-AADIntBackdoor
. Zur Erkennung werden bestimmte Merkmale der erstellten oder konvertierten Backdoor-Domäne herangezogen.
Weitere Informationen finden Sie auch unter dem verwandten Indicator of Exposure „Federation Signing Certificates Mismatch“ (Fehlende Übereinstimmung der Verbundsignaturzertifikate).
Das Verbundprotokoll, dass den Authentifizierungsnachweis von der bösartigen Verbunddomäne an das angegriffene Microsoft Entra ID überträgt, kann entweder WS-Federation oder SAML sein. Bei der Verwendung von SAML ähnelt der Angriff einem „Golden SAML“-Angriff, mit diesen wesentlichen Unterschieden:
Die Berechtigungen microsoft.directory/domains/allProperties/allTasks
und microsoft.directory/domains/federation/update
gewähren Administratoren die Möglichkeit, die Verbunddomänen zu ändern. Seit November 2023 verfügen die folgenden integrierten Microsoft Entra-Rollen zusätzlich zu potenziellen benutzerdefinierten Rollen über diese Berechtigung:
Die APT29-Bedrohungsgruppe hat diese Methode im berüchtigten Angriff auf SolarWinds namens „Solorigate“ im Dezember 2020 missbraucht, wie von Microsoft und von Mandiant dokumentiert.
Dieses Ergebnis weist auf eine von einem Angreifer erzeugte potenzielle Backdoor hin. Leiten Sie ein Incident Response-Verfahren mit einer forensischen Analyse ein, um den mutmaßlichen Angriff zu bestätigen und den Ursprung und die Zeit des Angriffs sowie das Ausmaß des möglichen Eindringens zu ermitteln.
Wenn Sie die Liste der Verbunddomänen im Azure-Portal anzeigen möchten, navigieren Sie zum Blatt „Benutzerdefinierte Domänennamen“ und suchen Sie in der Spalte „Verbund“ nach Domänennamen mit einem Häkchen. Der Name der potenziell bösartigen Domäne stimmt mit dem Namen im Ergebnis überein. Im Gegensatz zur MS Graph API werden im Azure-Portal keine technischen Details zum Verbund angezeigt.
PowerShell-Cmdlets aus der MS Graph API ermöglichen Ihnen die Auflistung der Domänen mit Get-MgDomain
und ihrer Verbundkonfiguration wie folgt mit Get-MgDomainFederationConfiguration
`:
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
Nach dem Speichern von Beweisen für eine spätere forensische Analyse gehen Sie folgendermaßen vor:
Remove-MgDomain
.Remove-MgDomainFederationConfiguration
.Sie können dem Behebungsleitfaden „Notfallrotation von AD FS-Zertifikaten“ von Microsoft folgen.
Stellen Sie zum Bestätigen des Vorgangs sicher, dass das gemeldete Ergebnis nicht mehr in diesem Indicator of Exposure aufgeführt wird.
Darüber hinaus ist es wichtig, nicht zu vergessen, dass der Angreifer möglicherweise andere Persistenzmechanismen wie Backdoors eingerichtet hat. Bitten Sie Experten für die Vorfallsreaktion um Unterstützung, um diese zusätzlichen Bedrohungen zu erkennen und zu beseitigen.
Beachten Sie, dass bei diesem Angriffstyp Verbundfunktionen ausgenutzt werden, die eine normale und legitime Funktion von Microsoft Entra ID sind. Beschränken Sie die Anzahl der Administratoren, die Verbundeinstellungen ändern können, um künftige Angriffe zu verhindern. Dies ist eine proaktive Maßnahme, da ein Angreifer über hohe Berechtigungen verfügen muss, um eine solche Backdoor zu erstellen. In der Beschreibung des Sicherheitsrisikos finden Sie weitere Informationen zu bestimmten Berechtigungen und eine Liste der Rollen.
Name: Bekannte Verbunddomänen-Backdoor
Codename: KNOWN-FEDERATED-DOMAIN-BACKDOOR
Schweregrad: Critical
Techniken: T1484.002, T1606.002
More: Modify Trusted Domains [Mandiant], Security vulnerability in Azure AD & Office 365 identity federation, How to create a backdoor to Azure AD - part 1: Identity federation, Deep-dive to Azure Active Directory Identity Federation