Language:
Microsoft Entra ID テナントは、外部ドメインとフェデレーションして、認証と承認のために別のドメインと信頼を確立することができます。企業はフェデレーションを使用して、Active Directory ユーザーのオンプレミス Active Directory Federation Services (AD FS) に対する認証を委任することができます。(注意: この外部ドメインは Active Directory の「ドメイン」ではありません。) しかし、悪意のある攻撃者が Microsoft Entra ID で昇格された権限を取得した場合、独自のフェデレーションドメインを追加したり、既存のドメインを編集して独自に設定したセカンダリ設定を追加したりすることで、このフェデレーション機構を悪用し、バックドアを仕掛ける可能性があります。この攻撃では次のアクションが可能になります。
この露出インジケーターは、AADInternals ハッキングツールキット (特に、ConvertTo-AADIntBackdoor
および New-AADIntBackdoor
コマンドレット) が仕掛けるフェデレーションドメインのバックドアを、仕掛けられたまたは変換されたバックドアドメインの特定の特徴に基づいて検出します。
関連する露出インジケーター「フェデレーション署名証明書の不一致」も参照してください。
悪意のあるフェデレーションドメインから標的とする Microsoft Entra ID に認証証明を転送するために使用されるフェデレーションプロトコルは、WS-Federation または SAML のどちらかです。SAML を使用している場合、攻撃は「ゴールデン SAML」攻撃に似ていますが、主に次の点が異なります。
microsoft.directory/domains/allProperties/allTasks
および microsoft.directory/domains/federation/update
アクセス許可は、フェデレーションドメインを変更できる権限を管理者に与えます。2023 年 11 月時点で、潜在的なカスタムロールに加えて、次のビルトイン Microsoft Entra ID ロールがこのアクセス許可を保持しています。
APT29 脅威グループは、2020 年 12 月の SolarWinds に対する悪名高い攻撃 (「Solorigate」と呼ばれています) でこの方法を悪用しました。この攻撃については、Microsoft と Mandiant によって文書化されています。
この検出結果は、攻撃者がバックドアを仕掛けた可能性を示しています。フォレンジック分析によるインシデント対応手順を開始して、攻撃の疑いを確認し、攻撃元と攻撃時刻を特定し、潜在的な侵入の範囲を評価します。
Azure ポータルでフェデレーションドメインのリストを見るには、[カスタムドメイン名] ブレードに移動し、[フェデレーション] 列でチェックマークのあるドメインを探します。悪意のある可能性があるドメインの名前は、検出結果でフラグが立てられているものと同じです。ただし、MS Graph API とは異なり、Azure ポータルではフェデレーションの技術的な詳細情報は表示されません。
MS Graph API の PowerShell コマンドレットを使用し、Get-MgDomain
でドメインをリストし、Get-MgDomainFederationConfiguration
` でそれらのフェデレーション設定をリストできます。次のようにします。
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
フォレンジック分析のために証拠を保存した後
Remove-MgDomain
を使用して削除します。Remove-MgDomainFederationConfiguration
を使用してフェデレーション設定を削除します。Microsoft の AD FS 証明書の緊急ローテーションにある修正に関するガイドをご覧ください。
操作を確認するには、この露出インジケーター (IoE) で報告された検出結果が解決されたことを確認してください。
さらに、攻撃者がバックドアなどの他の持続的なメカニズムを設定している可能性を予測することも重要です。これらの他の脅威も特定して排除するために、インシデント対応のエキスパートに支援を求めてください。
このタイプの攻撃は、Microsoft Entra ID の正常で正当な機能であるフェデレーションを悪用していることに注意してください。今後の攻撃を防ぐために、フェデレーション設定を変更できる管理者の数を制限してください。攻撃者がそのようなバックドアを仕掛けるには高い権限が必要であるため、これは予防的な対策になります。特定のアクセス許可とロールのリストについては、脆弱性の説明を確認してください。
名前: 既知のフェデレーションドメインのバックドア
コード名: KNOWN-FEDERATED-DOMAIN-BACKDOOR
深刻度: Critical
More: Modify Trusted Domains [Mandiant], Security vulnerability in Azure AD & Office 365 identity federation, How to create a backdoor to Azure AD - part 1: Identity federation, Deep-dive to Azure Active Directory Identity Federation