フェデレーションドメインのリスト
LOW
Language:
説明
Microsoft Entra ID テナントは、外部ドメインとフェデレーションして、認証と承認のために別のドメインと信頼を確立することができます。組織はフェデレーションを使用して、Active Directory ユーザーのオンプレミス Active Directory Federation Services (AD FS) への認証を委任することができます (注意: この外部ドメインは Active Directory の「ドメイン」ではありません)。 しかし、悪意のある攻撃者が Microsoft Entra ID で昇格された権限を取得した場合、独自のフェデレーションドメインを追加したり、既存のドメインを編集して独自に設定したセカンダリ設定を追加したりすることで、このフェデレーション機構を悪用し、バックドアを仕掛ける可能性があります。
フェデレーションドメインに仕掛けられたバックドアは、設定に挿入された、特殊偽造されたトークン署名証明書に依存しています。これは、プライマリまたはセカンダリトークン署名証明書のいずれかで設定されます。一般的なオープンソースの攻撃者ツール (AADInternals の ConvertTo-AADIntBackdoor コマンドレットなど) が使用されている場合、疑わしいイベントの発生を示すいくつかの手がかりがあります。
[既知のフェデレーションドメインのバックドア] 露出インジケーター (IoE) とは異なり、この IoE は必ずしも攻撃者が作成したバックドアを示すものではありません。代わりに、Entra ID テナント内のすべてのフェデレーションドメインの全一覧が提供されます。これにより、各ドメインの発行元 URI が、設定されている外部アイデンティティプロバイダー (IdP) と一致していることを確認できます。通常、これはオンプレミスの AD FS サーバーになります。発行元 URI は、信頼できるフェデレーションサーバーの URL を表します。
Microsoft が説明するように、AD FS にフェデレーションされたドメインに設定されるデフォルトの発行元は http://<ADFSServiceFQDN>/adfs/services/trust です。ただし、異なるフェデレーションアイデンティティプロバイダーを使用している場合、この値は異なります。
microsoft.directory/domains/allProperties/allTasks および microsoft.directory/domains/federation/update のアクセス許可は、フェデレーションドメインを変更できる権限を管理者に付与します。2023 年 11 月時点で、潜在的なカスタムロールに加えて、次のビルトイン Microsoft Entra ロールがこのアクセス許可を保持しています。
ソリューション
フェデレーションドメインの属性を確認し、その正当性を評価して、アイデンティティプロバイダーで指定されている設定で、自分が意図的に作成したものであることを確認します。 発行元 URI などの属性、およびプライマリとセカンダリの両方のトークン署名証明書の発行元と発行先の属性を特に検証してください。すべてが正当であると思われる場合は、除外によりそのフェデレーションドメインを無視することができます。
または、環境内の信頼できるフェデレーションアイデンティティプロバイダー (IdP) に対応していない属性を検出した場合、攻撃者がバックドアを仕掛けた可能性があります。フォレンジック分析によるインシデント対応手順を開始して、疑わしい攻撃を確認し、攻撃元と攻撃時刻を特定し、潜在的な侵入の範囲を評価します。 このタイプのバックドアを仕掛けるのに必要な昇格された権限 (通常は [グローバル管理者] ロール、およびあまり知られていない Entra ロール) がある場合、Entra ID の完全な侵害が発生する可能性があります。
Azure ポータルでフェデレーションドメインのリストを見るには、[カスタムドメイン名] ブレードに移動し、[フェデレーション] 列でチェックマークのあるドメインを探します。悪意のある可能性があるドメインの名前は、検出結果でフラグが立てられているものと同じです。ただし、MS Graph API とは異なり、Azure ポータルではフェデレーションの技術的な詳細情報は表示されません。
MS Graph API の PowerShell コマンドレットの Get-MgDomain を使ってドメインをリストし、Get-MgDomainFederationConfiguration を使ってそれらのフェデレーション設定をリストできます。次のようになります。
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
フォレンジック分析のために証拠を保存した後:
- ドメインが不正なものである場合は、
Remove-MgDomainを使用して削除します。 - ドメインは正当でも、フェデレーション設定に悪意がある場合は、
Remove-MgDomainFederationConfigurationを使用してフェデレーション設定を削除します。
Microsoft の AD FS 証明書の緊急ローテーションにある修正に関するガイドに従ってください。
操作を確認するために、この露出インジケーター (IoE) で報告された検出結果が解決され、クリアされたことを確認してください。
さらに、攻撃者がバックドアなどの他の持続性のあるメカニズムを設定している可能性を予測することは極めて重要です。さらなる脅威を特定して排除するために、インシデント対応の専門家に支援を求めてください。
このタイプの攻撃は、Microsoft Entra ID の正常で正当な機能であるフェデレーションを悪用することに注意してください。今後の攻撃を防ぐために、フェデレーション設定を変更できる管理者の数を制限してください。攻撃者がそのようなバックドアを仕掛けるには昇格された権限が必要であるため、これは予防的な対策になります。特定のアクセス許可とロールのリストについては、脆弱性の説明を確認してください。
インジケーターの詳細
名前: フェデレーションドメインのリスト
コード名: FEDERATED-DOMAINS-LIST
深刻度: Low
タイプ: Microsoft Entra ID Indicator of Exposure