Liste de domaines fédérés

Un tenant Microsoft Entra peut être fédéré avec un domaine externe pour établir une relation d'approbation avec un autre domaine à des fins d'authentification et d'autorisation. Les organisations utilisent la fédération pour déléguer l'authentification des utilisateurs Active Directory à leur Active Directory Federation Services (AD FS) sur site. (Remarque : le domaine externe n'est pas un « domaine » Active Directory). Cependant, si des acteurs malveillants obtiennent des privilèges élevés dans Microsoft Entra ID, ils peuvent exploiter ce mécanisme de fédération pour créer une porte dérobée en ajoutant leur propre domaine fédéré ou en modifiant un domaine existant pour ajouter une configuration secondaire avec leurs propres paramètres.

Les portes dérobées mises en place sur les domaines fédérés reposent sur un certificat de signature de jeton falsifié spécifiquement à cet effet et mis en place par le biais d'un certificat de signature de jeton principal ou secondaire. Lors de l'utilisation d'outils d'attaque open source courants (comme AADInternals avec la cmdlet ConvertTo-AADIntBackdoor), certains indicateurs indiquent qu'un événement suspect s'est produit.

Contrairement à l'indicateur d'exposition (IoE) « Porte dérobée de domaine fédéré connue », cet IoE n'indique pas nécessairement les portes dérobées créées par un attaquant. Au lieu de cela, il fournit une liste complète de tous les domaines fédérés au sein de votre tenant Entra ID, vous permettant de vérifier que l'URI de l'émetteur de chaque domaine correspond au fournisseur d'identité externe (IdP) que vous avez configuré. Il s'agit généralement de votre serveur AD FS sur site. L'URI de l'émetteur représente l'URL du serveur de fédération approuvé.

Comme l'explique Microsoft, l'émetteur par défaut pour un domaine fédéré à AD FS est http://<ADFSServiceFQDN>/adfs/services/trust. Cependant, cette valeur sera différente si vous utilisez un autre fournisseur d'identité fédéré.

Les autorisations microsoft.directory/domains/allProperties/allTasks et microsoft.directory/domains/federation/update donnent aux administrateurs la possibilité de modifier les domaines fédérés. Depuis novembre 2023, les rôles Microsoft Entra intégrés suivants disposent de cette autorisation, en plus d'éventuels rôles personnalisés :

• Administrateur de nom de domaine
• Administrateur de fournisseurs d’identité externes
• Administrateur d'identité hybride
• Administrateur général
• Prise en charge de niveau 2 de partenaire
• Administrateur de sécurité

Passez en revue les attributs du domaine fédéré pour évaluer sa légitimité et confirmer que vous l'avez créé intentionnellement avec la configuration spécifiée dans votre fournisseur d'identité. Vérifiez en particulier certains attributs tels que l'URI de l'émetteur, ainsi que les attributs émetteur et sujet des certificats de signature de jeton principal et secondaire. Si tout semble légitime, vous pouvez ignorer le domaine fédéré via une exclusion.

Sinon, si vous découvrez des attributs qui ne correspondent pas à un fournisseur d'identité (IdP) fédéré approuvé de votre environnement, cela indique une potentielle porte dérobée mise en place par un attaquant. Lancez une procédure de réponse aux incidents avec une analyse forensique, afin de confirmer l'attaque présumée, d'identifier l'origine et l'heure de l'attaque, et d'évaluer l'étendue de l'intrusion potentielle. Étant donné les privilèges élevés nécessaires à l'installation de ce type de porte dérobée (qui nécessite généralement le rôle « Administrateur général », parallèlement à des rôles Entra moins connus), il est probable qu'Entra ID soit entièrement compromis.

Pour afficher la liste des domaines fédérés dans le portail Azure, naviguez jusqu'au panneau « Noms de domaine personnalisés » et recherchez ceux qui sont cochés dans la colonne « Fédérés ». Le nom du domaine potentiellement malveillant correspond à celui signalé dans la détection. Cependant, contrairement à l'API MS Graph, le portail Azure n'affiche pas les détails techniques de la fédération.

Utilisez les cmdlets PowerShell de l'API MS Graph pour lister les domaines avec Get-MgDomain et leur configuration de fédération avec Get-MgDomainFederationConfiguration, comme suit :

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

Après avoir enregistré les preuves en vue d'une éventuelle analyse forensique :

• Si le domaine n'est pas légitime, supprimez-le en utilisant Remove-MgDomain.
• Si le domaine est légitime mais la configuration de fédération est malveillante, supprimez-la en utilisant Remove-MgDomainFederationConfiguration.

Vous pouvez suivre ce guide de remédiation de Microsoft : « Rotation d'urgence des certificats AD FS ».

Pour confirmer l'opération, assurez-vous que la détection signalée de cet indicateur d'exposition a été résolue et effacée.

En outre, il est essentiel de tenir compte du fait que l'attaquant a pu établir d'autres mécanismes de persistance tels que des portes dérobées. Faites appel à des experts en réponse aux incidents pour vous aider à identifier et à éliminer toute menace supplémentaire.

Notez que ce type d'attaque exploite la fédération, une fonctionnalité standard et légitime de Microsoft Entra ID. Pour prévenir de futures attaques, limitez le nombre d'administrateurs autorisés à modifier les paramètres de fédération. Il s'agit d'une mesure proactive, car un attaquant aurait besoin de privilèges élevés pour créer une porte dérobée de ce type. Examinez la description de la vulnérabilité pour connaître les autorisations spécifiques et consulter la liste des rôles.

Nom: Liste de domaines fédérés

Nom de code: FEDERATED-DOMAINS-LIST

Sévérité: Low

Type: Microsoft Entra ID Indicator of Exposure