ハイブリッドアカウント (Active Directory から同期されたアカウント) が Entra ID の特権ロールを持っていると、AD を侵害した攻撃者が Entra ID にピボットできてしまうので、セキュリティリスクが発生します。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。

「<a href="https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-azure-ad-connect">Microsoft Entra Connect</a>」(旧「Azure AD Connect」) や「<a href="https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/what-is-cloud-sync">Microsoft Entra Cloud Sync</a>」(旧「Azure AD Connect Cloud Sync」) などを使って <a href="https://learn.microsoft.com/en-us/entra/identity/hybrid/what-is-inter-directory-provisioning">ディレクトリ同期</a>を設定している組織の場合、オンプレミスの Active Directory からクラウドの Entra ID へユーザーを同期させるために、Entra ID の特権ロールにハイブリッド AD アカウントを使いたくなるかもしれません。しかし、Active Directory を侵害した攻撃者にとっては、Entra ID に対する悪意のあるコントロールを拡大できる好機となります​。攻撃者は AD ユーザーになりすますいくつかのテクニックを駆使し、Entra ID にもこのなりすましを仕掛けます。
このため、Microsoft は「<a href="https://learn.microsoft.com/en-us/entra/architecture/protect-m365-from-on-premises-attacks">オンプレミスの攻撃から Microsoft 365 を保護する</a>」の記事で、「Microsoft 365 には、管理者権限を持つオンプレミスアカウントは存在すべきではない」とし、「オンプレミスアカウントが Microsoft 365 への昇格権限を持っていない」ことを確認するよう推奨しています。

Modify Authentication Process: Hybrid Identity

[MITRE ATT&CK®] T1556.007 (Modify Authentication Process: Hybrid Identity)

AD (ハイブリッド) と同期された特権 Entra アカウント

Protecting Microsoft 365 from on-premises attacks

ファーストパーティサービスプリンシパルは強力なアクセス許可を持っていますが、表示されない、Microsoft 所有である、数が多いということから見過ごされています。攻撃者はそれらに認証情報を付加して、権限昇格や永続性などの権限の恩恵を密かに受けることができます。

ファーストパーティサービスプリンシパル (エンタープライズアプリケーション) は、Microsoft に属するアプリケーション (アプリケーション登録) に由来しています。それらのほとんどは、セキュリティチェックの際に見過ごされがちな、Microsoft Entra ID の機密性の高いアクセス許可を持っています。そのため、攻撃者はサービスプリンシパルに認証情報を付加することで、その権限の恩恵を密かに受けることが可能です。​
この手法を使うと永続的​機能のほか権限昇格​も得られます。これは、アプリケーション管理者ロールを持つプリンシパルが、高い権限のあるアプリケーションにも認証情報を付加できるためです。
ごく稀なケースを除いて、ファーストパーティサービスプリンシパルはいかなる資格情報も持つべきではありません (推奨事項を参照してください)。
APT29 脅威グループは、2020 年 12 月の「Solorigate」と呼ばれる SolarWinds に対する悪名高い攻撃でこの方法を悪用しました。この攻撃は、<a href="https://www.microsoft.com/en-us/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinate-protection-against-solorigate/">Microsoft</a> と <a href="https://www.mandiant.com/sites/default/files/2021-11/wp-m-unc2452-000343.pdf#page=29">Mandiant</a> によって記録されています。

Azure AD privilege escalation - Taking over default application permissions as Application Admin

Account Manipulation: Additional Cloud Credentials

[MITRE ATT&CK®] T1098.001 (Account Manipulation: Additional Cloud Credentials)

認証情報を持つファーストパーティサービスプリンシパル

Microsoft Entra ID は、フェデレーションを通じて別のプロバイダーへの認証の委任を可能にします。しかし、昇格された権限を持つ攻撃者は、悪意のあるフェデレーションドメインを追加することで永続性と権限昇格を取得し、この機能を悪用することができます。

Microsoft Entra ID テナントは、<a href="https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-fed">外部ドメインとフェデレーション</a>して、認証と承認のために別のドメインと信頼を確立することができます。企業はフェデレーションを使用して、Active Directory ユーザーのオンプレミス Active Directory Federation Services (AD FS) に対する認証を委任することができます。(注意: この外部ドメインは Active Directory の「ドメイン」ではありません。)
しかし、悪意のある攻撃者が Microsoft Entra ID で昇格された権限を取得した場合、独自のフェデレーションドメインを追加したり、既存のドメインを編集して独自に設定したセカンダリ設定を追加したりすることで、このフェデレーション機構を悪用し、バックドアを仕掛ける​可能性があります。この攻撃では次のアクションが可能になります。
<ul>
<li>なりすまし​: 悪意のあるフェデレーションドメインでトークンを生成し、攻撃者は、任意の Microsoft Entra ID ユーザーのパスワードを知らなくてもあるいはリセットしなくても認証できるようになります。これは「クラウドのみ」(非ハイブリッド) のユーザーと外部ユーザーも対象になります。これにより、たとえ MFA (以下を参照) を施行していたとしても、Microsoft Entra ID、Microsoft 365 (O365)、および ID プロバイダー (SSO) として Microsoft Entra ID に依存する他のアプリケーションに対する攻撃が可能になります。</li>
<li>権限昇格​: 攻撃者は、任意のユーザー、特に特権を持つ Microsoft Entra ID ユーザーになりすますことができます。</li>
<li>多要素認証のバイパス​: フェデレーション認証により、信頼できる外部ドメイン <a href="https://learn.microsoft.com/en-us/graph/api/resources/internaldomainfederation?view=graph-rest-beta#federatedidpmfabehavior-values"> が MFA を実行するロールを引き受けます</a>。次に、悪意のあるフェデレーションドメインは、偽装された認証が MFA を使用したという偽りの主張をする可能性があります。Microsoft Entra ID はこれを信用して再度 MFA を求めることはありません。MFA 保護されているとしても、この手法で攻撃者はすべてのユーザーになりすますことができます。</li>
<li>永続化​: 悪意のあるフェデレーションドメインの追加は、Microsoft Entra ID テナントを侵害して高い権限を奪取した攻撃者が、後日アクセス権を再取得することを可能にするステルス型の攻撃手法です。</li>
</ul>
この露出インジケーターは、<a href="https://aadinternals.com/">AADInternals</a> ハッキングツールキット (特に、<code>ConvertTo-AADIntBackdoor</code> および <code>New-AADIntBackdoor</code> コマンドレット) が仕掛けるフェデレーションドメインのバックドア​を、仕掛けられたまたは変換されたバックドアドメインの特定の特徴に基づいて検出します。
関連する露出インジケーター「フェデレーション署名証明書の不一致」も参照してください。
悪意のあるフェデレーションドメインから標的とする Microsoft Entra ID に認証証明を転送するために使用されるフェデレーションプロトコルは、WS-Federation または SAML のどちらかです。SAML を使用している場合、攻撃は「<a href="https://www.mandiant.com/sites/default/files/2021-11/wp-m-unc2452-000343.pdf#page=9">ゴールデン SAML</a>」攻撃に似ていますが、主に次の点が異なります。
<ul>
<li>攻撃者は、既存のフェデレーションの正当な SAML 署名キーを盗むのではなく、独自のキーを使って新しいドメインを挿入します。</li>
<li>攻撃者は、特定のサービスに偽造トークンを提示するのではなく、フェデレーションサービスに偽造トークンを提示して、複数のシステムに不正アクセスします。</li>
</ul>
<code>microsoft.directory/domains/allProperties/allTasks</code> および <code>microsoft.directory/domains/federation/update</code> アクセス許可は、フェデレーションドメインを変更できる権限を管理者に与えます。2023 年 11 月時点で、潜在的なカスタムロールに加えて、次のビルトイン Microsoft Entra ID ロールがこのアクセス許可を保持しています。
<ul>
<li>「<a href="https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#domain-name-administrator">ドメイン名管理者</a>」</li>
<li>「<a href="https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#external-identity-provider-administrator">外部アイデンティティプロバイダー管理者</a>」</li>
<li>「<a href="https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#hybrid-identity-administrator">ハイブリッド ID 管理者</a>」</li>
<li>「<a href="https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#global-administrator">グローバル管理者</a>」</li>
<li>「<a href="https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#partner-tier2-support">パートナーティア 2 サポート</a>」</li>
<li>「<a href="https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#security-administrator">セキュリティ管理者</a>」</li>
</ul>
APT29 脅威グループは、2020 年 12 月の SolarWinds に対する悪名高い攻撃 (「Solorigate」と呼ばれています) でこの方法を悪用しました。この攻撃については、<a href="https://www.microsoft.com/en-us/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinate-protection-against-solorigate/">Microsoft</a> と <a href="https://www.mandiant.com/sites/default/files/2021-11/wp-m-unc2452-000343.pdf#page=23">Mandiant</a> によって文書化されています。

Modify Trusted Domains [Mandiant]

Security vulnerability in Azure AD & Office 365 identity federation

How to create a backdoor to Azure AD - part 1: Identity federation

Deep-dive to Azure Active Directory Identity Federation

Domain Policy Modification: Domain Trust Modification

Forge Web Credentials: SAML Tokens

[MITRE ATT&CK®] T1484.002 (Domain Policy Modification: Domain Trust Modification)

[MITRE ATT&CK®] T1606.002 (Forge Web Credentials: SAML Tokens)

既知のフェデレーションドメインのバックドア

MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。

多要素認証 (MFA) や従来の 2 要素認証 (2FA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します​。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。
攻撃者が何らかの手法でユーザーのパスワードを取得すると、MFA は、モバイルアプリケーションの時間切れコード、物理トークン、生体認証機能などの追加要素をリクエストすることにより、認証をブロックします。
アカウントに登録された MFA 方式がない場合、または方式を登録せずに MFA を実行した場合、この露出インジケーターは警告を発します。これにより、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があります。しかし、条件付きアクセスポリシーが動的基準に応じて MFA を必要とする可能性があるため、この露出インジケーターは Microsoft Entra ID が MFA を実行しているかどうかを報告できません。
Entra ID の「<a href="https://learn.microsoft.com/en-us/entra/identity/authentication/howto-authentication-methods-activity">認証方式アクティビティ</a>」および 「<a href="https://learn.microsoft.com/en-us/entra/identity/authentication/howto-mfa-reporting">MFA レポート</a>」機能も使用できます。
特権アカウントについては、関連する IOE の「特権アカウントに MFA がない」も参照してください。

Account Manipulation

Brute Force

Modify Authentication Process: Multi-Factor Authentication

Valid Accounts: Cloud Accounts

[MITRE ATT&CK®] T1098 (Account Manipulation)

[MITRE ATT&CK®] T1110 (Brute Force)

[MITRE ATT&CK®] T1556.006 (Modify Authentication Process: Multi-Factor Authentication)

[MITRE ATT&CK®] T1078.004 (Valid Accounts: Cloud Accounts)

非特権アカウントに MFA がない

Microsoft は、Microsoft Entra ID で API を公開して、サードパーティアプリケーションが Microsoft サービスでアクションを実行できるようにします。特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。したがって、そのようなアクセス許可の割り当ては注意深く確認する必要があります。

Microsoft は、Microsoft Entra ID のアプリケーションを介して API を公開し、サードパーティアプリケーションが Microsoft Entra ID 自体、また Microsoft 365 (O365) や Azure クラウドなどでアクションを実行できるようにします。「API アクセス許可」は、必要とするサービスプリンシパルだけが利用できるこれらの API へのアクセスを保護します。アクセス許可の承認は、「アプリケーションロールの割り当て」または「同意の付与」と呼ばれています。
一部の Microsoft API (以下を参照) に対する特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります​。これは、これらのアクセス許可を持つサービスプリンシパルが、グローバル管理者などの強力な管理者ロールを持つユーザーよりも目立たないながらも、非常に強力なユーザーになるためです。これを悪用すると、攻撃者は多要素認証 (MFA) をバイパスし、ユーザーパスワードのリセットを避けることができます。
アクセス許可は、正当と見なされると、テナントのアタックサーフェスを拡大させます。アクセス許可が正当でない場合、権限昇格や永続化といった悪意のある試みである可能性があります。
Microsoft ドキュメント<a href="https://learn.microsoft.com/en-us/entra/identity-platform/permissions-consent-overview">「アクセス許可と同意の概要」</a>に記載されているように、Microsoft Entra ID の API アクセス許可には次の 2 つのタイプがあります。
<ul>
<li>アプリケーションのアクセス許可: 同意は管理者から与えられ、アクセス許可はテナント全体に適用されます。</li>
<li>委任されたアクセス許可: 同意は、企業全体を代表してユーザーまたは管理者から与えられます。これらのアクセス許可は、サインインしたユーザーの権限 (つまり、アクセス許可とユーザーの権限レベルの共通部分) に基づいてアプリケーションのアクション実行能力を制限することに注意してください。したがって、これらの委任されたアクセス許可の危険性は、<a href="https://learn.microsoft.com/en-us/security/zero-trust/develop/developer-strategy-delegated-permission">委任されたアクセス許可戦略の開発</a>に記載されているように、アプリケーションユーザーの実際のアクセス許可に依存しています。例: 標準ユーザーが「Group.ReadWrite.All」アクセス許可を委任した場合、アプリケーションによりすべてのグループではなく、ユーザーが編集可能なグループのみが変更される可能性があります。</li>
</ul>
この露出インジケーターは、両タイプのアクセス許可を調べます。API アクセス許可は、ユーザーではなくサービスプリンシパルのみに適用可能であるため、サービスプリンシパルに関してのみ報告を行います。
この露出インジケーターは、<a href="https://learn.microsoft.com/en-us/graph/overview">Microsoft Graph API</a> および従来の <a href="https://learn.microsoft.com/en-us/graph/migrate-azure-ad-graph-overview">Azure AD Graph API</a> へのアクセスを可能にするアクセス許可にも重点を置いています。特に、次の危険なアクセス許可はセキュリティリスクをもたらす可能性があります。
<ul>
<li><code>RoleManagement.ReadWrite.Directory</code>: 攻撃者がグルーバル管理者ロールへと自ら昇格できるようにします。</li>
<li><code>AppRoleAssignment.ReadWrite.All</code>: 攻撃者が自らに <code>RoleManagement.ReadWrite.Directory</code> アクセス許可を付与できるようにします (上記参照)。</li>
</ul>
これらの危険なアクセス許可を持つ正当なアプリケーションは、本来必要とされる範囲を超えたアクセス許可を求めます。これは、攻撃者が管理者の同意の取得に成功する「不正な同意の付与」と呼ばれるフィッシング攻撃を示唆する可能性もあります。

検出

露出インジケーター

High

High

Critical

Medium

High