Domaines non vérifiés

Un tenant Microsoft Entra peut être fédéré avec un domaine externe pour établir une relation d'approbation avec un autre domaine à des fins d'authentification et d'autorisation. Cependant, si des acteurs malveillants obtiennent des privilèges élevés dans Microsoft Entra ID, ils peuvent exploiter ce mécanisme de fédération pour créer une porte dérobée en ajoutant leur propre domaine fédéré ou en modifiant un domaine existant pour ajouter une configuration secondaire avec leurs propres paramètres.

Il est recommandé d'éviter de laisser des domaines personnalisés non vérifiés configurés dans Entra ID pendant une période prolongée.

Jusqu'au printemps 2020, lorsque Microsoft a corrigé le problème, il était même possible de créer une porte dérobée de domaine fédéré à l'aide d'un nouveau domaine non vérifié. Cela était rendu possible via la cmdlet New-AADIntBackdoor de l'outil d'attaque open source AADInternals.

Cet indicateur d'exposition répertorie tous les domaines personnalisés non vérifiés dans votre environnement Entra ID, vous permettant ainsi de vérifier leur légitimité.

Vous devez traiter les domaines personnalisés non vérifiés répertoriés dans les détections de cet indicateur d'exposition, car ils pourraient constituer une porte dérobée potentielle ou faciliter sa mise en place par un attaquant.

Pour afficher la liste des domaines dans le portail Azure, naviguez jusqu'au panneau Noms de domaine personnalisés et recherchez les domaines signalés comme « Non vérifié » dans la colonne « Statut ». Tout domaine potentiellement malveillant correspondra au nom répertorié dans les détections. Les cmdlets PowerShell de l'API MS Graph vous permettent de lister les domaines avec Get-MgDomain :

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | ? { $_.IsVerified -eq $True }

Terminez la configuration de ces domaines non vérifiés ou supprimez-les.

S'il s'agit d'un domaine approuvé légitime, vous devez créer les entrées DNS requises avec votre registre de domaine, puis terminer le processus de vérification.

Sinon, procédez à une analyse forensique pour déterminer si le domaine a été compromis et évaluer l'étendue de la violation. Étant donné que l'ajout d'un domaine personnalisé nécessite généralement des privilèges élevés, tels que le rôle « Administrateur général » et potentiellement d'autres rôles Entra moins connus, il est possible que l'ID Entra soit totalement compromis en cas de mauvaise utilisation de ces privilèges.

Après avoir sauvegardé les preuves d'une potentielle analyse forensique, si vous pensez que le domaine est illégitime, supprimez-le à l'aide de Remove-MgDomain. Enfin, tenez compte du fait que l'attaquant a pu établir d'autres mécanismes de persistance tels que des portes dérobées. Consultez des experts en réponse aux incidents pour identifier et éliminer ces menaces supplémentaires.

Nom: Domaines non vérifiés

Nom de code: UNVERIFIED-DOMAIN

Sévérité: Low

Type: Microsoft Entra ID Indicator of Exposure