既知のフェデレーションドメインのバックドア

Microsoft Entra ID テナントは、外部ドメインとフェデレーションして、認証と承認のために別のドメインと信頼を確立することができます。企業はフェデレーションを使用して、Active Directory ユーザーのオンプレミス Active Directory Federation Services (AD FS) に対する認証を委任することができます。(注意: この外部ドメインは Active Directory の「ドメイン」ではありません。) しかし、悪意のある攻撃者が Microsoft Entra ID で昇格された権限を取得した場合、独自のフェデレーションドメインを追加したり、既存のドメインを編集して独自に設定したセカンダリ設定を追加したりすることで、このフェデレーション機構を悪用し、バックドアを仕掛ける​可能性があります。この攻撃では次のアクションが可能になります。

• なりすまし​: 悪意のあるフェデレーションドメインでトークンを生成し、攻撃者は、任意の Microsoft Entra ID ユーザーのパスワードを知らなくてもあるいはリセットしなくても認証できるようになります。これは「クラウドのみ」(非ハイブリッド) のユーザーと外部ユーザーも対象になります。これにより、たとえ MFA (以下を参照) を施行していたとしても、Microsoft Entra ID、Microsoft 365 (O365)、および ID プロバイダー (SSO) として Microsoft Entra ID に依存する他のアプリケーションに対する攻撃が可能になります。
• 権限昇格​: 攻撃者は、任意のユーザー、特に特権を持つ Microsoft Entra ID ユーザーになりすますことができます。
• 多要素認証のバイパス​: フェデレーション認証により、信頼できる外部ドメイン が MFA を実行するロールを引き受けます。次に、悪意のあるフェデレーションドメインは、偽装された認証が MFA を使用したという偽りの主張をする可能性があります。Microsoft Entra ID はこれを信用して再度 MFA を求めることはありません。MFA 保護されているとしても、この手法で攻撃者はすべてのユーザーになりすますことができます。
• 永続化​: 悪意のあるフェデレーションドメインの追加は、Microsoft Entra ID テナントを侵害して高い権限を奪取した攻撃者が、後日アクセス権を再取得することを可能にするステルス型の攻撃手法です。

この露出インジケーターは、AADInternals ハッキングツールキット (特に、ConvertTo-AADIntBackdoor および New-AADIntBackdoor コマンドレット) が仕掛けるフェデレーションドメインのバックドア​を、仕掛けられたまたは変換されたバックドアドメインの特定の特徴に基づいて検出します。

関連する露出インジケーター「フェデレーション署名証明書の不一致」も参照してください。

悪意のあるフェデレーションドメインから標的とする Microsoft Entra ID に認証証明を転送するために使用されるフェデレーションプロトコルは、WS-Federation または SAML のどちらかです。SAML を使用している場合、攻撃は「ゴールデン SAML」攻撃に似ていますが、主に次の点が異なります。

• 攻撃者は、既存のフェデレーションの正当な SAML 署名キーを盗むのではなく、独自のキーを使って新しいドメインを挿入します。
• 攻撃者は、特定のサービスに偽造トークンを提示するのではなく、フェデレーションサービスに偽造トークンを提示して、複数のシステムに不正アクセスします。

microsoft.directory/domains/allProperties/allTasks および microsoft.directory/domains/federation/update アクセス許可は、フェデレーションドメインを変更できる権限を管理者に与えます。2023 年 11 月時点で、潜在的なカスタムロールに加えて、次のビルトイン Microsoft Entra ID ロールがこのアクセス許可を保持しています。

• 「ドメイン名管理者」
• 「外部アイデンティティプロバイダー管理者」
• 「ハイブリッド ID 管理者」
• 「グローバル管理者」
• 「パートナーティア 2 サポート」
• 「セキュリティ管理者」

APT29 脅威グループは、2020 年 12 月の SolarWinds に対する悪名高い攻撃 (「Solorigate」と呼ばれています) でこの方法を悪用しました。この攻撃については、Microsoft と Mandiant によって文書化されています。

この検出結果は、攻撃者がバックドアを仕掛けた可能性​を示しています。フォレンジック分析によるインシデント対応手順​を開始して、攻撃の疑いを確認し、攻撃元と攻撃時刻を特定し、潜在的な侵入の範囲を評価します。

Azure ポータルでフェデレーションドメインのリストを見るには、[カスタムドメイン名] ブレードに移動し、[フェデレーション] 列でチェックマークのあるドメインを探します。悪意のある可能性があるドメインの名前は、検出結果でフラグが立てられているものと同じです。ただし、MS Graph API とは異なり、Azure ポータルではフェデレーションの技術的な詳細情報は表示されません。

MS Graph API の PowerShell コマンドレットを使用し、Get-MgDomain でドメインをリストし、Get-MgDomainFederationConfiguration` でそれらのフェデレーション設定をリストできます。次のようにします。

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

フォレンジック分析のために証拠を保存​した後

• ドメインが不正なものである場合は、Remove-MgDomain を使用して削除します。
• ドメインは正当でも、フェデレーション設定に悪意がある場合は、Remove-MgDomainFederationConfiguration を使用してフェデレーション設定を削除します。

Microsoft の AD FS 証明書の緊急ローテーションにある修正に関するガイドをご覧ください。

操作を確認するには、この露出インジケーター (IoE) で報告された検出結果が解決されたことを確認してください。

さらに、攻撃者がバックドアなどの他の持続的なメカニズムを設定している可能性を予測することも重要です。これらの他の脅威も特定して排除するために、インシデント対応のエキスパートに支援を求めてください。

このタイプの攻撃は、Microsoft Entra ID の正常で正当な機能であるフェデレーションを悪用していることに注意してください。今後の攻撃を防ぐために、フェデレーション設定を変更できる管理者の数を制限してください。攻撃者がそのようなバックドアを仕掛けるには高い権限が必要であるため、これは予防的な対策になります。特定のアクセス許可とロールのリストについては、脆弱性の説明を確認してください。

名前: 既知のフェデレーションドメインのバックドア

コード名: KNOWN-FEDERATED-DOMAIN-BACKDOOR

深刻度: Critical