Idioma:
Un inquilino de Microsoft Entra puede federarse con un dominio externo para establecer una relación de confianza con otro dominio a los efectos de autenticación y autorización. Las organizaciones emplean la federación para delegar la autenticación de los usuarios de Active Directory en sus instancias locales de Active Directory Federation Services (AD FS). (Nota: El dominio externo no es un “dominio” de Active Directory). No obstante, si agentes malintencionados obtienen privilegios elevados en Microsoft Entra ID, pueden aprovecharse de este mecanismo de federación para crear una puerta trasera al agregar su propio dominio federado o editar uno existente para agregar una configuración secundaria con sus propias opciones. Este ataque permitiría las siguientes acciones:
Este indicador de exposición detecta puertas traseras de dominios federados que se crean con el kit de herramientas de hackeo AADInternals, en particular, los cmdlets ConvertTo-AADIntBackdoor
y New-AADIntBackdoor
, en función de ciertas características del dominio con puerta trasera que se creó o convirtió.
Además, consulte el indicador de exposición relacionado, “Error de coincidencia de certificados de firma de federación”.
El protocolo de federación usado para transmitir la prueba de autenticación del dominio federado malintencionado a la instancia de Microsoft Entra ID objetivo puede ser WS-Federation o SAML. Al usar SAML, el ataque es similar a un ataque “Golden SAML”, con estas diferencias principales:
Los permisos microsoft.directory/domains/allProperties/allTasks
y microsoft.directory/domains/federation/update
conceden a los administradores la capacidad de modificar los dominios federados. A partir de noviembre de 2023, los siguientes roles integrados de Microsoft Entra mantienen este permiso, además de los posibles roles personalizados:
El grupo de amenazas APT29 se aprovechó de este método en el infame ataque de diciembre de 2020 contra SolarWinds, llamado “Solorigate”, según documentan Microsoft y Mandiant.
Este hallazgo indica una puerta trasera potencial de un atacante. Inicie un procedimiento de respuesta ante incidentes con un análisis forense para confirmar el supuesto ataque, identificar el origen y la hora del ataque y evaluar el grado de la posible intrusión.
Para consultar la lista de dominios federados en Azure Portal, vaya a la hoja “Nombres de dominio personalizado” y busque aquellos que tengan una marca en la columna “Federado”. El nombre del dominio potencialmente malintencionado coincide con el que está marcado en el hallazgo. No obstante, a diferencia de MS Graph API, Azure Portal no muestra los detalles técnicos de la federación.
Use los cmdlets de PowerShell de MS Graph API para enumerar los dominios con Get-MgDomain
y la configuración de federación con Get-MgDomainFederationConfiguration
, de la manera siguiente:
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
Después de guardar las pruebas para el análisis forense:
Remove-MgDomain
.Remove-MgDomainFederationConfiguration
.Puede seguir la guía de corrección de Microsoft “Rotación de emergencia de los certificados de AD FS”.
Para confirmar la operación, asegúrese de que el hallazgo informado por este indicador de exposición se haya solucionado.
Además, es importante prever que el atacante puede haber configurado otros mecanismos de persistencia, como puertas traseras. Pida la asistencia de los expertos en respuesta ante incidentes para que le ayuden a detectar y eliminar estas amenazas adicionales.
Tenga en cuenta que este tipo de ataque se aprovecha de la federación, que es una característica normal y legítima de Microsoft Entra ID. Para evitar ataques futuros, limite la cantidad de administradores que pueden modificar los ajustes de federación. Esta es una medida proactiva, dado que un atacante debe tener privilegios elevados para crear una puerta trasera de este tipo. Compruebe la descripción de la vulnerabilidad para conocer los permisos específicos y una lista de los roles.
Nombre: Puerta trasera conocida de dominios federados
Nombre en clave: KNOWN-FEDERATED-DOMAIN-BACKDOOR
Gravedad: Critical
Tipo: Microsoft Entra ID Indicator of Exposure