Language:
Microsoft Entra ID テナントは、外部ドメインとフェデレーションして、認証と承認のために別のドメインと信頼を確立することができます。企業はフェデレーションを使用して、Active Directory ユーザーのオンプレミス Active Directory Federation Services (AD FS) に対する認証を委任することができます。(注意: この外部ドメインは Active Directory の「ドメイン」ではありません)。 しかし、悪意のある攻撃者が Microsoft Entra ID で昇格された権限を取得した場合、独自のフェデレーションドメインを追加したり、既存のドメインを編集して独自に設定したセカンダリ設定を追加したりすることで、このフェデレーション方式を悪用し、バックドアを作成する可能性があります。そのような攻撃では次のアクションが可能になります。
この露出インジケーターは、AADInternals ハッキングツールキット (特に、ConvertTo-AADIntBackdoor
および New-AADIntBackdoor
コマンドレット) が作成するフェデレーションドメインのバックドアを、作成または変換されたバックドアドメインの特定の特徴に基づいて検出します。
悪意のあるフェデレーションドメインから攻撃対象の Microsoft Entra ID への認証の証明を備えたフェデレーションプロトコルは、WS-Federation または SAML のどちらかです。SAML の場合、攻撃は「ゴールデン SAML」攻撃に似ていますが、主に次の点が異なります。
microsoft.directory/domains/federation/update
アクセス許可は、フェデレーションドメインを変更できる権限を与えます。2023 年 1 月時点で、潜在的なカスタムロールに加えて、次のビルトイン Microsoft Entra ID ロールがこのアクセス許可を保持しています。
APT29 脅威グループは、2020 年 12 月の「Solorigate」と呼ばれる SolarWinds に対する悪名高い攻撃でこの方法を悪用しました。この攻撃については、Microsoft と Mandiant によって文書化されています。
この検出結果は、攻撃者がバックドアを仕掛けた可能性を示しています。フォレンジック分析によるインシデント対応手順を開始して、攻撃の疑いを確認し、攻撃者と攻撃時刻、潜在的な侵入の範囲を特定します。
Microsoft はフェデレーションを Microsoft Entra ID の正当な機能と見なしていますが、この攻撃ではそれが悪用されています。攻撃者が高い権限を獲得しなければこのバックドアは作成できない点を Microsoft は強調しています。こうした理由から、フェデレーション設定を変更する権限を持つ管理者の数を制限する必要があります。詳細については、脆弱性の説明にある特定のアクセス許可やロールの一覧を参照してください。
Azure ポータルのフェデレーションドメインのリストを確認するには、[カスタムドメイン名] ブレードを開いて、[フェデレーション] 列にチェックマークのあるドメインを探します。悪意のある可能性があるドメインの名前は、検出結果に表示されるものと同じ名前になります。しかし、MS Graph API とは異なり、Azure ポータルではフェデレーションの技術的詳細は表示されません。
MS Graph API の PowerShell コマンドレットにより、Get-MgDomain
でドメインを、Get-MgDomainFederationConfiguration
`でそれらのフェデレーション設定を一覧表示できます。
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
最終的なフォレンジック分析のために証拠を保存した後、
Remove-MgDomain
を使用して削除します。Remove-MgDomainFederationConfiguration
を使用してフェデレーション設定を削除します。名前: 既知のフェデレーションドメインのバックドア
コード名: KNOWN-FEDERATED-DOMAIN-BACKDOOR
深刻度: Critical
More: Modify Trusted Domains [Mandiant], Security vulnerability in Azure AD & Office 365 identity federation, How to create a backdoor to Azure AD - part 1: Identity federation, Deep-dive to Azure Active Directory Identity Federation