Idioma:
Un inquilino de Microsoft Entra puede federarse con un dominio externo para establecer una relación de confianza con otro dominio a los efectos de autenticación y autorización. Las organizaciones emplean la federación para delegar la autenticación de los usuarios de Active Directory en sus instancias locales de Active Directory Federation Services (AD FS). (Nota: El dominio externo no es un “dominio” de Active Directory). No obstante, si agentes maliciosos obtienen privilegios elevados en Microsoft Entra ID, pueden aprovecharse de este mecanismo de federación para crear una puerta trasera al agregar su propio certificado secundario de firma de tokens malintencionado a la configuración de federación legítima con sus propias opciones. Este ataque permitiría las siguientes acciones:
Este indicador de exposición detecta cualquier error de coincidencia en los atributos de firmante o emisor entre los certificados principal y secundario de firma de tokens (si están presentes), ya que esto podría indicar que el certificado secundario de firma de tokens es ilegítimo y potencialmente malintencionado.
Además, consulte el indicador de exposición relacionado “Puerta trasera conocida de dominios federados”.
El protocolo de federación usado para transmitir la prueba de autenticación del dominio federado vulnerado a la instancia de Microsoft Entra ID objetivo puede ser WS-Federation o SAML. Al usar SAML, el ataque es similar a un ataque “Golden SAML”, con estas diferencias principales:
Los permisos microsoft.directory/domains/allProperties/allTasks
y microsoft.directory/domains/federation/update
conceden a los administradores la capacidad de modificar los dominios federados. A partir de noviembre de 2023, los siguientes roles integrados de Microsoft Entra mantienen este permiso, además de los posibles roles personalizados:
El grupo de amenazas APT29 se aprovechó de este método en el infame ataque de diciembre de 2020 contra SolarWinds, llamado “Solorigate”, según documentan Microsoft y Mandiant. Esta técnica también está documentada en varios artículos: “Security vulnerability in Azure AD & Office 365 identity federation” (texto en inglés), “How to create a backdoor to Azure AD - part 1: Identity federation” (texto en inglés) y “Deep-dive to Azure Active Directory Identity Federation” (texto en inglés).
Este hallazgo indica una puerta trasera potencial de un atacante.
Para comenzar, examine el certificado secundario de firma de tokens y preste especial atención a los atributos informados que no coincidan con el certificado principal. Verifique la legitimidad de estos atributos en su organización. Pida confirmación a los administradores de Entra ID ante cualquier modificación hecha en la configuración de la federación del dominio informado que incluya este certificado secundario.
Un certificado secundario de firma de tokens se usa comúnmente para rotar el certificado principal cuando se acerca su vencimiento. Solo se vuelve un problema de seguridad si es claramente malintencionado o si los administradores no lo reconocen, lo que lo hace potencialmente malintencionado. En tales casos, inicie un procedimiento de respuesta ante incidentes con un análisis forense para confirmar el supuesto ataque, identificar el origen y la hora del ataque y evaluar el grado de la posible intrusión.
Para consultar la lista de dominios federados en Azure Portal, vaya a la hoja “Nombres de dominio personalizado” y busque aquellos que tengan una marca en la columna “Federado”. El nombre del dominio potencialmente malintencionado coincide con el que está marcado en el hallazgo. No obstante, a diferencia de MS Graph API, Azure Portal no muestra los detalles técnicos de la federación.
Use los cmdlets de PowerShell de MS Graph API para enumerar los dominios con Get-MgDomain
y la configuración de federación con Get-MgDomainFederationConfiguration
, de la manera siguiente:
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
Después de guardar las pruebas para el análisis forense, se aconseja quitar el certificado secundario de firma de tokens malintencionado. Dado que Microsoft no ofrece un método directo para quitar este certificado en particular de la configuración de federación, lo más fácil es deshabilitar la federación del dominio o quitar por completo el dominio afectado para borrar su configuración de federación y luego volver a habilitarla. No obstante, tenga cuidado con el horario, ya que los usuarios que dependen de este dominio federado no pueden autenticarse durante este proceso. Si configuró la federación mediante Microsoft Entra Connect, úselo para realizar esta operación. Si lo hizo manualmente, use Update-MgDomainFederationConfiguration
y el mismo método usado inicialmente para restablecerla. Puede seguir la guía de corrección de Microsoft “Rotación de emergencia de los certificados de AD FS”.
Para confirmar la operación, asegúrese de que el hallazgo informado por este indicador de exposición se haya solucionado. Además, es importante prever que el atacante puede haber configurado otros mecanismos de persistencia, como puertas traseras. Pida la asistencia de los expertos en respuesta ante incidentes para que le ayuden a detectar y eliminar estas amenazas adicionales.
Tenga en cuenta que este tipo de ataque se aprovecha de la federación, que es una característica normal y legítima de Microsoft Entra ID. Para evitar ataques futuros, limite la cantidad de administradores que pueden modificar los ajustes de federación. Esta es una medida proactiva, dado que un atacante debe tener privilegios elevados para crear una puerta trasera de este tipo. Compruebe la descripción de la vulnerabilidad para conocer los permisos específicos y una lista de los roles.
Nombre: Error de coincidencia de certificados de firma de federación
Nombre en clave: FEDERATION-SIGNING-CERTIFICATES-MISMATCH
Gravedad: High
Tipo: Microsoft Entra ID Indicator of Exposure