Nicht verifizierte Domäne

Ein Microsoft Entra-Mandant kann einen Verbund mit einer externen Domäne einrichten, um zu Authentifizierungs- und Autorisierungszwecken eine Vertrauensbeziehung zu einer anderen Domäne herzustellen. Wenn sich jedoch böswillige Akteure erhöhte Rechte in Microsoft Entra ID verschaffen, können sie diesen Verbundmechanismus missbrauchen, um eine Backdoor zu erstellen. Hierzu fügen sie ihre eigene Verbunddomäne hinzu oder bearbeiten eine vorhandene Verbunddomäne, um eine zweite Konfiguration mit ihren eigenen Einstellungen hinzufügen.

Nicht verifizierte benutzerdefinierte Domänen sollten nicht über einen längeren Zeitraum in Entra ID beibehalten werden.

Bis zum Frühjahr 2020, als dieses Problem von Microsoft behoben wurde, war es sogar möglich, unter Verwendung einer neuen nicht verifizierten Domäne eine Backdoor in einer Verbunddomäne zu erstellen. Dies war über das Cmdlet „New-AADIntBackdoor“ des Open-Source-Angriffstools AADInternals möglich.

Dieser Indicator of Exposure listet alle nicht verifizierten benutzerdefinierten Domänen in Ihrer Entra ID-Umgebung auf, sodass Sie deren Legitimität überprüfen können.

Sie sollten sich mit den nicht verifizierten benutzerdefinierten Domänen befassen, die in den Ergebnissen dieses Indicator of Exposure aufgeführt sind, da sie eine potenzielle Backdoor für einen Angreifer darstellen bzw. ermöglichen könnten.

Um die Liste der Domänen im Azure-Portal anzuzeigen, navigieren Sie zum Blatt „Benutzerdefinierte Domänennamen“ und suchen Sie nach Domänen, die in der Spalte „Status“ als „Nicht verifiziert“ gekennzeichnet sind. Jede potenziell bösartige Domäne entspricht dem in den Ergebnissen aufgeführten Namen. PowerShell-Cmdlets der MS Graph-API ermöglichen es Ihnen, die Domänen mit Get-MgDomainaufzulisten:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | ? { $_.IsVerified -eq $True }

Schließen Sie die Konfiguration dieser nicht verifizierten Domänen ab oder entfernen Sie die Domänen.

Wenn es sich um eine legitime vertrauenswürdige Domäne handelt, müssen Sie die erforderlichen DNS-Einträge bei Ihrer Domänenregistrierungsstelle erstellen und dann den Verifizierungsprozess abschließen.

Andernfalls führen Sie eine forensische Untersuchung durch, um herauszufinden, ob die Domäne kompromittiert wurde und um das Ausmaß der Sicherheitsverletzung zu bewerten. Da zum Hinzufügen einer benutzerdefinierten Domäne in der Regel erhöhte Rechte benötigt werden, wie z. B. die Rolle „Globaler Administrator“ und möglicherweise andere weniger bekannte Entra-Rollen, ist eine vollständige Kompromittierung von Entra ID wahrscheinlich, wenn diese Rechte missbraucht werden.

Wenn Sie der Meinung sind, dass die Domäne nicht legitim ist, speichern Sie Beweise für eine eventuelle forensische Analyse und entfernen Sie die Domäne dann mit Remove-MgDomain. Außerdem sollten Sie damit rechnen, dass der Angreifer möglicherweise andere Persistenzmechanismen wie beispielsweise Backdoors eingerichtet hat. Bitten Sie Incident-Response-Experten um Unterstützung, um diese zusätzlichen Bedrohungen zu identifizieren und zu beseitigen.

Name: Nicht verifizierte Domäne

Codename: UNVERIFIED-DOMAIN

Schweregrad: Low

Typ: Microsoft Entra ID Indicator of Exposure