Langue :
Un tenant Microsoft Entra peut être fédéré avec un domaine externe pour établir une relation d'approbation avec un autre domaine à des fins d'authentification et d'autorisation. Les organisations utilisent la fédération pour déléguer l'authentification des utilisateurs Active Directory à leur Active Directory Federation Services (AD FS) sur site. (Remarque : le domaine externe n'est pas un « domaine » Active Directory). Cependant, si des acteurs malveillants obtiennent des privilèges élevés dans Microsoft Entra ID, ils peuvent exploiter ce mécanisme de fédération pour créer une porte dérobée en ajoutant leur propre domaine fédéré ou en modifiant un domaine existant pour ajouter une configuration secondaire avec leurs propres paramètres. Cette attaque permettrait d'exécuter les actions suivantes :
Cet indicateur d'exposition détecte les portes dérobées de domaine fédéré créées par le kit de piratage AADInternals, en particulier les cmdlets ConvertTo-AADIntBackdoor
et New-AADIntBackdoor
, en fonction de certaines caractéristiques du domaine de porte dérobée créé ou converti.
Reportez-vous également à l'indicateur d'exposition connexe « Federation Signing Certificates Mismatch » (Non-concordance des certificats de signature de fédération).
Le protocole de fédération utilisé pour transmettre la preuve d'authentification du domaine fédéré malveillant au Microsoft Entra ID ciblé peut être WS-Federation ou SAML. Lors de l'utilisation de SAML, l'attaque ressemble à une attaque « Golden SAML », mais avec les principales différences suivantes :
Les autorisations microsoft.directory/domains/allProperties/allTasks
et microsoft.directory/domains/federation/update
donnent aux administrateurs la possibilité de modifier les domaines fédérés. En novembre 2023, les rôles Microsoft Entra intégrés suivants disposent de cette autorisation, en plus d'éventuels rôles personnalisés :
Le groupe d'attaquants APT29 a exploité cette méthode lors de la fameuse attaque « Solorigate » de décembre 2020 contre SolarWinds, comme l'ont documenté Microsoft et Mandiant.
Ce résultat indique une porte dérobée potentielle. Lancez une procédure de réponse aux incidents avec une analyse forensique, afin de confirmer l'attaque présumée, d'identifier l'origine et l'heure de l'attaque, et d'évaluer l'étendue de l'intrusion potentielle.
Pour afficher la liste des domaines fédérés dans le portail Azure, naviguez jusqu'au panneau « Noms de domaine personnalisés » et recherchez ceux qui sont cochés dans la colonne « Fédérés ». Le nom du domaine potentiellement malveillant correspond à celui signalé dans la détection. Cependant, contrairement à l'API MS Graph, le portail Azure n'affiche pas les détails techniques de la fédération.
Utilisez les cmdlets PowerShell de l'API MS Graph pour lister les domaines avec Get-MgDomain
et leur configuration de fédération avec Get-MgDomainFederationConfiguration
`, comme suit :
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
Après avoir enregistré les preuves en vue d'une analyse forensique :
Remove-MgDomain
.Remove-MgDomainFederationConfiguration
.Vous pouvez suivre ce guide de remédiation de Microsoft : « Rotation d'urgence des certificats AD FS ».
Pour confirmer l'opération, assurez-vous que la détection signalée de cet indicateur d'exposition a été effacée.
Il faut également tenir compte du fait que l'attaquant a pu mettre en place d'autres mécanismes de persistance tels que des portes dérobées. Faites appel à des experts en réponse aux incidents pour vous aider à identifier et à éliminer ces menaces supplémentaires.
Notez que ce type d'attaque exploite la fédération qui est une fonctionnalité standard et légitime de Microsoft Entra ID. Pour prévenir de futures attaques, limitez le nombre d'administrateurs autorisés à modifier les paramètres de fédération. Il s'agit d'une mesure proactive puisqu'un attaquant doit disposer de privilèges élevés pour créer une porte dérobée de ce type. Reportez-vous à la description de la vulnérabilité pour connaître les autorisations spécifiques et consulter la liste des rôles.
Nom: Porte dérobée de domaine fédéré connue
Nom de code: KNOWN-FEDERATED-DOMAIN-BACKDOOR
Niveau de gravité: Critical
Techniques: T1484.002, T1606.002
More: Modify Trusted Domains [Mandiant], Security vulnerability in Azure AD & Office 365 identity federation, How to create a backdoor to Azure AD - part 1: Identity federation, Deep-dive to Azure Active Directory Identity Federation