Ungewöhnliche Gültigkeitsdauer des Verbundsignaturzertifikats

Bei Verbunddomänen übernimmt im Gegensatz zu verwalteten Domänen ein Drittanbieter-Identitätsanbieter, z. B. ein Microsoft AD FS-Server, anstelle von Entra ID die Authentifizierung. In diesem Setup stellt Entra ID eine Vertrauensstellung zum Identitätsanbieter her.

Wenn AD FS als Identitätsanbieter fungiert, werden Signaturzertifikate mit einer Standard-Gültigkeitsdauer von einem Jahr generiert. Sie können diese Dauer zwar ändern, sie ist jedoch in den meisten Umgebungen weiterhin verbreitet.

Daher muss beachtet werden, dass diese Heuristik als Indikator dient, der einen Vergleich mit der tatsächlichen Konfiguration des Identitätsanbieters erfordert, aber kein direkter Indicator of Compromise (IoC) ist. Stattdessen ist er ein Verhaltensindikator, der bei bestimmten Entra ID-Angriffen wie etwa dem Solorigate-Angriff beobachtet wurde.

Außerdem sollte unbedingt eine Einschränkung beachtet werden: Der IoE würde keinen Angreifer erkennen, der ein Rogue-Signaturzertifikat mit einer Gültigkeitsdauer von einem Jahr (Standardwert der Option) oder der gleichen Dauer wie ein normales Signaturzertifikat in Ihrer Umgebung einfügt.

Überprüfen Sie zunächst, ob das der Verbunddomäne zugeordnete Signaturzertifikat legitim ist und ob Sie es selbst mit der angegebenen Konfiguration bei Ihrem Identitätsanbieter erstellt haben.

Wenn Sie die Liste der Verbunddomänen im Azure-Portal überprüfen möchten, navigieren Sie zum Blatt „Benutzerdefinierte Domänennamen“ und suchen Sie in der Spalte „Verbund“ nach Domänennamen mit einem Häkchen. Die potenziell bösartige Domäne hat den gleichen Namen wie in der Feststellung angegeben. Im Gegensatz zur MS Graph-API werden im Azure-Portal keine technischen Details zum Verbund angezeigt.

PowerShell-Cmdlets aus der MS Graph-API ermöglichen Ihnen die Auflistung der Domänen mit Get-MgDomain und ihrer Verbundkonfiguration mit Get-MgDomainFederationConfiguration:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_; Get-MgDomainFederationConfiguration -DomainId $_.Id }

Wenn Sie in dem Identitätsanbieter, der von Entra ID als vertrauenswürdig eingestuft wird, eine andere Gültigkeitsdauer konfiguriert haben, passen Sie den Wert der zugehörigen Option entsprechend an. Alternativ können Sie erwägen, das Signaturzertifikat über einen Ausschluss zuzulassen, wenn diese Konfiguration spezifisch für Ihr Setup ist.

Führen Sie im alternativen Szenario eine forensische Untersuchung durch, um herauszufinden, ob die Verbunddomäne kompromittiert wurde, und um das Ausmaß der Sicherheitsverletzung zu bewerten. Angesichts der erhöhten Rechte, die für die Installation dieser Art von Backdoor erforderlich sind (in der Regel ist die Rolle „Globaler Administrator“ erforderlich, neben weniger bekannten Entra-Rollen), ist eine potenzielle vollständige Kompromittierung von Entra ID wahrscheinlich.

Gehen Sie nach dem Speichern der Beweise für eine eventuelle forensische Analyse folgendermaßen vor:

• Wenn die Domäne nicht legitim ist, entfernen Sie sie mit Remove-MgDomain.
• Wenn die Domäne legitim ist, die Verbundkonfiguration jedoch bösartig, entfernen Sie die Verbundkonfiguration mit Remove-MgDomainFederationConfiguration.

Wenn diese Verbunddomäne andere legitime Signaturzertifikate enthält, sollte sie anschließend mit diesen Zertifikaten manuell neu erstellt werden.

Name: Ungewöhnliche Gültigkeitsdauer des Verbundsignaturzertifikats

Codename: UNUSUAL-FEDERATION-SIGNING-CERTIFICATE-VALIDITY-PERIOD

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure