Période de validité inhabituelle du certificat de signature de fédération

MEDIUM

Description

Pour les domaines fédérés, contrairement aux domaines gérés, un fournisseur d'identité tiers tel qu'un serveur Microsoft AD FS gère l'authentification au lieu d'Entra ID. Dans cette configuration, Entra ID établit une relation d'approbation avec le fournisseur d'identité.

Lorsqu'AD FS agit en tant que fournisseur d'identité, il génère des certificats de signature avec une période de validité par défaut d'un an. Bien que vous puissiez modifier cette durée, elle reste très courante dans la plupart des environnements.

Par conséquent, il est important de noter que cette heuristique est une indication qui doit être comparée à la configuration effective du fournisseur d'identité, mais n'est pas un indicateur direct de compromission (IoC). Au contraire, elle fournit une indication du comportement observé lors de certaines attaques Entra ID, telles que Solorigate.

De plus, il est important de noter une limitation : l'IoE ne détectera pas un attaquant qui insère dans votre environnement un certificat de signature malveillant avec une durée d'un an (valeur par défaut de l'option) ou avec la même durée qu'un certificat de signature normal.

Solution

Tout d'abord, confirmez que le certificat de signature associé au domaine fédéré est légitime et que vous l'avez créé vous-même dans votre fournisseur d'identité avec la configuration spécifiée.

Pour contrôler la liste des domaines fédérés dans le portail Azure, naviguez jusqu'au panneau « Noms de domaine personnalisés » et recherchez ceux qui sont cochés dans la colonne « Fédérés ». Le domaine potentiellement malveillant portera le même nom que celui indiqué dans la détection. Cependant, contrairement à l'API MS Graph, le portail Azure n'affiche pas les détails techniques de la fédération.

Les cmdlets PowerShell de l'API MS Graph permettent de lister les domaines avec Get-MgDomain et leur configuration de fédération avec Get-MgDomainFederationConfiguration :

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

Si vous avez configuré la période de validité différemment dans le fournisseur d'identité approuvé par Entra ID, réglez en conséquence la valeur de l'option associée. Vous pouvez également envisager d'autoriser la signature du certificat par le biais d'une exclusion si cette configuration est spécifique à votre installation.

Sinon, procédez à une analyse forensique pour déterminer si le domaine fédéré a été compromis et évaluer l'étendue de la violation. Étant donné les privilèges élevés nécessaires à l'installation de ce type de porte dérobée (qui nécessite généralement le rôle « Administrateur général », parallèlement à des rôles Entra moins connus), il est probable qu'Entra ID soit entièrement compromis.

Après avoir sauvegardé les preuves pour une éventuelle analyse forensique :

  • Si le domaine est illégitime, supprimez-le à l'aide de Remove-MgDomain.
  • Si le domaine est légitime mais que la configuration de la fédération est malveillante, supprimez la configuration de la fédération à l'aide de Remove-MgDomainFederationConfiguration.

Si ce domaine fédéré contient d'autres certificats de signature légitimes, il doit être recréé manuellement avec ces derniers.

Détails de l'indicateur

Nom: Période de validité inhabituelle du certificat de signature de fédération

Nom de code: UNUSUAL-FEDERATION-SIGNING-CERTIFICATE-VALIDITY-PERIOD

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure

Informations MITRE ATT&CK: