Detecciones

Error de coincidencia de certificados de firma de federación

HIGH

Idioma:

Descripción

Un inquilino de Microsoft Entra puede federarse con un dominio externo para establecer una relación de confianza con otro dominio a los efectos de autenticación y autorización. Las organizaciones emplean la federación para delegar la autenticación de los usuarios de Active Directory en sus instancias locales de Active Directory Federation Services (AD FS). (Nota: El dominio externo no es un “dominio” de Active Directory). No obstante, si agentes maliciosos obtienen privilegios elevados en Microsoft Entra ID, pueden aprovecharse de este mecanismo de federación para crear una puerta trasera al agregar su propio certificado secundario de firma de tokens malintencionado a la configuración de federación legítima con sus propias opciones. Este ataque permitiría las siguientes acciones:

  • Suplantación de identidad: el certificado secundario de firma de tokens malintencionado puede generar tokens que permitan a un atacante autenticarse como cualquier usuario de Microsoft Entra sin que sepa ni restablezca la contraseña. Esto incluye usuarios “solo en la nube” (no híbridos) y usuarios externos. Esto hace posible ataques a Microsoft Entra ID, Microsoft 365 (O365) y otras aplicaciones que se basan en Microsoft Entra ID como proveedor de identidad (SSO), incluso si se exige la MFA (consulte a continuación).
  • Escalamiento de privilegios: el atacante puede suplantar la identidad de cualquier usuario, en particular de usuarios de Microsoft Entra con privilegios.
  • Omisión de la autenticación multifactor: con la autenticación federada, el dominio externo de confianza asume el rol de exigir la MFA. Luego, el certificado secundario de firma de tokens malintencionado puede afirmar de manera falsa que la autenticación suplantada usó la MFA, en la que Microsoft Entra ID confía, por lo que no vuelve a solicitar la MFA. Esto permite que el atacante suplante la identidad de todos los usuarios, incluso cuando existe la protección mediante MFA.
  • Persistencia: agregar un certificado secundario de firma de tokens malintencionado a un dominio federado existente es una técnica sigilosa que permite que los atacantes que pusieron en riesgo al inquilino de Microsoft Entra y se apropiaron de privilegios elevados vuelvan a obtener acceso más adelante.

Este indicador de exposición detecta cualquier error de coincidencia en los atributos de firmante o emisor entre los certificados principal y secundario de firma de tokens (si están presentes), ya que esto podría indicar que el certificado secundario de firma de tokens es ilegítimo y potencialmente malintencionado.

Además, consulte el indicador de exposición relacionado “Puerta trasera conocida de dominios federados”.

El protocolo de federación usado para transmitir la prueba de autenticación del dominio federado vulnerado a la instancia de Microsoft Entra ID objetivo puede ser WS-Federation o SAML. Al usar SAML, el ataque es similar a un ataque “Golden SAML”, con estas diferencias principales:

  • En lugar de robar la clave de firma de SAML legítima de una federación existente, los atacantes inyectan su certificado secundario de firma con su propia clave.
  • Los atacantes presentan el token falsificado al servicio de federación para obtener acceso no autorizado a diversos sistemas, en lugar de presentarlo ante un servicio en particular.

Los permisos microsoft.directory/domains/allProperties/allTasks y microsoft.directory/domains/federation/update conceden a los administradores la capacidad de modificar los dominios federados. A partir de noviembre de 2023, los siguientes roles integrados de Microsoft Entra mantienen este permiso, además de los posibles roles personalizados:

El grupo de amenazas APT29 se aprovechó de este método en el infame ataque de diciembre de 2020 contra SolarWinds, llamado “Solorigate”, según documentan Microsoft y Mandiant. Esta técnica también está documentada en varios artículos: “Security vulnerability in Azure AD & Office 365 identity federation” (texto en inglés), “How to create a backdoor to Azure AD - part 1: Identity federation” (texto en inglés) y “Deep-dive to Azure Active Directory Identity Federation” (texto en inglés).

Solución

Este hallazgo indica una puerta trasera potencial de un atacante.

Para comenzar, examine el certificado secundario de firma de tokens y preste especial atención a los atributos informados que no coincidan con el certificado principal. Verifique la legitimidad de estos atributos en su organización. Pida confirmación a los administradores de Entra ID ante cualquier modificación hecha en la configuración de la federación del dominio informado que incluya este certificado secundario.

Un certificado secundario de firma de tokens se usa comúnmente para rotar el certificado principal cuando se acerca su vencimiento. Solo se vuelve un problema de seguridad si es claramente malintencionado o si los administradores no lo reconocen, lo que lo hace potencialmente malintencionado. En tales casos, inicie un procedimiento de respuesta ante incidentes con un análisis forense para confirmar el supuesto ataque, identificar el origen y la hora del ataque y evaluar el grado de la posible intrusión.

Para consultar la lista de dominios federados en Azure Portal, vaya a la hoja “Nombres de dominio personalizado” y busque aquellos que tengan una marca en la columna “Federado”. El nombre del dominio potencialmente malintencionado coincide con el que está marcado en el hallazgo. No obstante, a diferencia de MS Graph API, Azure Portal no muestra los detalles técnicos de la federación.

Use los cmdlets de PowerShell de MS Graph API para enumerar los dominios con Get-MgDomain y la configuración de federación con Get-MgDomainFederationConfiguration , de la manera siguiente:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

Después de guardar las pruebas para el análisis forense, se aconseja quitar el certificado secundario de firma de tokens malintencionado. Dado que Microsoft no ofrece un método directo para quitar este certificado en particular de la configuración de federación, lo más fácil es deshabilitar la federación del dominio o quitar por completo el dominio afectado para borrar su configuración de federación y luego volver a habilitarla. No obstante, tenga cuidado con el horario, ya que los usuarios que dependen de este dominio federado no pueden autenticarse durante este proceso. Si configuró la federación mediante Microsoft Entra Connect, úselo para realizar esta operación. Si lo hizo manualmente, use Update-MgDomainFederationConfiguration y el mismo método usado inicialmente para restablecerla. Puede seguir la guía de corrección de Microsoft “Rotación de emergencia de los certificados de AD FS”.

Para confirmar la operación, asegúrese de que el hallazgo informado por este indicador de exposición se haya solucionado. Además, es importante prever que el atacante puede haber configurado otros mecanismos de persistencia, como puertas traseras. Pida la asistencia de los expertos en respuesta ante incidentes para que le ayuden a detectar y eliminar estas amenazas adicionales.

Tenga en cuenta que este tipo de ataque se aprovecha de la federación, que es una característica normal y legítima de Microsoft Entra ID. Para evitar ataques futuros, limite la cantidad de administradores que pueden modificar los ajustes de federación. Esta es una medida proactiva, dado que un atacante debe tener privilegios elevados para crear una puerta trasera de este tipo. Compruebe la descripción de la vulnerabilidad para conocer los permisos específicos y una lista de los roles.

Detalles del indicador

Nombre: Error de coincidencia de certificados de firma de federación

Nombre en clave: FEDERATION-SIGNING-CERTIFICATES-MISMATCH

Gravedad: High

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: