Lista de dominios federados

Un inquilino de Microsoft Entra puede federarse con un dominio externo para establecer una relación de confianza con otro dominio a los efectos de autenticación y autorización. Las organizaciones emplean la federación para delegar la autenticación de los usuarios de Active Directory en sus instancias locales de Active Directory Federation Services (AD FS). (Nota: El dominio externo no es un “dominio” de Active Directory). No obstante, si agentes malintencionados obtienen privilegios elevados en Microsoft Entra ID, pueden aprovecharse de este mecanismo de federación para crear una puerta trasera al agregar su propio dominio federado o editar uno existente para agregar una configuración secundaria con sus propias opciones.

Las puertas traseras configuradas en dominios federados se basan en un certificado de firma de tokens falsificado específicamente que se inserta en la configuración y establecido a través de un certificado principal de firma de tokens o uno secundario. Al utilizar herramientas de ataque de código abierto comunes (como AADInternals con el cmdlet ConvertTo-AADIntBackdoor), algunas pistas indican que tuvo lugar un evento sospechoso.

A diferencia del indicador de exposición (IoE) “Puerta trasera conocida de dominios federados”, este IoE no indica necesariamente puertas traseras creadas por un atacante. En cambio, ofrece una lista completa de todos los dominios federados dentro del inquilino de Entra ID, lo que le permite verificar que el URI del emisor de cada dominio coincida con el proveedor de identidad (IdP) externo que configuró. Normalmente, este será su servidor de AD FS local. El URI del emisor representa la URL del servidor de federación de confianza.

Como explica Microsoft, el emisor predeterminado establecido para un dominio federado a AD FS es http://<FQDNdelServicioADFS>/adfs/services/trust. Sin embargo, este valor será diferente si utiliza otro proveedor de identidad federada.

Los permisos microsoft.directory/domains/allProperties/allTasks y microsoft.directory/domains/federation/update conceden a los administradores la capacidad de modificar los dominios federados. A partir de noviembre de 2023, los siguientes roles integrados de Microsoft Entra mantienen este permiso, además de los posibles roles personalizados:

• Administrador de nombres de dominio
• Administrador de proveedor de identidades externo
• Administrador de identidades híbridas
• Administrador global
• Soporte para asociados de nivel 2
• Administrador de seguridad

Revise los atributos del dominio federado para evaluar su legitimidad y validar que lo creó intencionalmente con la configuración especificada en el proveedor de identidad. Verifique en particular atributos como el URI del emisor, así como los atributos de emisor y firmante de los certificados principal y secundario de firma de tokens. Si todo parece ser legítimo, puede ignorar el dominio federado mediante una exclusión.

De lo contrario, si descubre atributos que no corresponden a un proveedor de identidad (IdP) federada confiable de su entorno, esto indica una posible puerta trasera de un atacante. Inicie un procedimiento de respuesta ante incidentes con un análisis forense para confirmar el supuesto ataque, identificar el origen y la hora del ataque y evaluar el grado de la posible intrusión. Dados los privilegios elevados necesarios para instalar este tipo de puerta trasera (que normalmente requieren el rol Administrador global, junto con roles de Entra menos conocidos), es probable que se produzca una vulneración total de Entra ID.

Para consultar la lista de dominios federados en Azure Portal, vaya a la hoja “Nombres de dominio personalizado” y busque aquellos que tengan una marca en la columna “Federado”. El nombre del dominio potencialmente malintencionado coincide con el que está marcado en el hallazgo. No obstante, a diferencia de MS Graph API, Azure Portal no muestra los detalles técnicos de la federación.

Use los cmdlets de PowerShell de MS Graph API para enumerar los dominios con Get-MgDomain y la configuración de federación con Get-MgDomainFederationConfiguration , de la manera siguiente:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

Después de guardar las pruebas para el eventual análisis forense:

• Si el dominio es ilegítimo, quítelo con Remove-MgDomain.
• Si el dominio es legítimo, pero la configuración de federación es malintencionada, quite la configuración de federación mediante Remove-MgDomainFederationConfiguration.

Puede seguir la guía de corrección de Microsoft “Rotación de emergencia de los certificados de AD FS”.

Para confirmar la operación, asegúrese de que el hallazgo informado por este indicador de exposición se haya corregido y solucionado.

Además, es fundamental prever que es posible que el atacante puede haber establecido otros mecanismos de persistencia, como puertas traseras. Pida la asistencia de los expertos en respuesta ante incidentes para que lo ayuden a detectar y eliminar cualquier amenaza adicional.

Tenga en cuenta que este tipo de ataque se aprovecha de la federación, una funcionalidad normal y legítima de Microsoft Entra ID. Para evitar ataques futuros, limite la cantidad de administradores que pueden modificar los ajustes de federación. Esta es una medida proactiva, ya que un atacante necesita privilegios elevados para crear una puerta trasera de este tipo. Consulte la descripción de la vulnerabilidad para conocer los permisos específicos y una lista de los roles.

Nombre: Lista de dominios federados

Nombre en clave: FEDERATED-DOMAINS-LIST

Gravedad: Low

Tipo: Microsoft Entra ID Indicator of Exposure