Detecciones

Puerta trasera conocida de dominios federados

CRITICAL

Idioma:

Descripción

Un inquilino de Microsoft Entra puede federarse con un dominio externo para establecer una relación de confianza con otro dominio a los efectos de autenticación y autorización. Las organizaciones emplean la federación para delegar la autenticación de los usuarios de Active Directory en sus instancias locales de Active Directory Federation Services (AD FS). (Nota: El dominio externo no es un “dominio” de Active Directory). No obstante, si agentes malintencionados obtienen privilegios elevados en Microsoft Entra ID, pueden aprovecharse de este mecanismo de federación para crear una puerta trasera al agregar su propio dominio federado o editar uno existente para agregar una configuración secundaria con sus propias opciones. Este ataque permitiría las siguientes acciones:

  • Suplantación de identidad: el dominio federado malintencionado puede generar tokens que permitan a un atacante autenticarse como cualquier usuario de Microsoft Entra sin que sepa ni restablezca la contraseña. Esto incluye usuarios “solo en la nube” (no híbridos) y usuarios externos. Esto hace posible ataques a Microsoft Entra ID, Microsoft 365 (O365) y otras aplicaciones que se basan en Microsoft Entra ID como proveedor de identidad (SSO), incluso si se exige la MFA (consulte a continuación).
  • Escalamiento de privilegios: el atacante puede suplantar la identidad de cualquier usuario, en particular de usuarios de Microsoft Entra con privilegios.
  • Omisión de la autenticación multifactor: con la autenticación federada, el dominio externo de confianza asume el rol de exigir la MFA. Luego, el dominio federado malintencionado puede afirmar de manera falsa que la autenticación suplantada usó la MFA, en lo que Microsoft Entra ID confía, por lo que no vuelve a solicitar la MFA. Esto permite que el atacante suplante la identidad de todos los usuarios, incluso cuando existe la protección mediante MFA.
  • Persistencia: agregar un dominio federado malintencionado es una técnica sigilosa que permite que los atacantes que pusieron en riesgo al inquilino de Microsoft Entra y se apropiaron de privilegios elevados vuelvan a obtener acceso más adelante.

Este indicador de exposición detecta puertas traseras de dominios federados que se crean con el kit de herramientas de hackeo AADInternals, en particular, los cmdlets ConvertTo-AADIntBackdoor y New-AADIntBackdoor, en función de ciertas características del dominio con puerta trasera que se creó o convirtió.

Además, consulte el indicador de exposición relacionado, “Error de coincidencia de certificados de firma de federación”.

El protocolo de federación usado para transmitir la prueba de autenticación del dominio federado malintencionado a la instancia de Microsoft Entra ID objetivo puede ser WS-Federation o SAML. Al usar SAML, el ataque es similar a un ataque “Golden SAML”, con estas diferencias principales:

  • En lugar de robar la clave de firma de SAML legítima de una federación existente, los atacantes inyectan su nuevo dominio con su propia clave.
  • Los atacantes presentan el token falsificado al servicio de federación para obtener acceso no autorizado a diversos sistemas, en lugar de presentarlo ante un servicio en particular.

Los permisos microsoft.directory/domains/allProperties/allTasks y microsoft.directory/domains/federation/update conceden a los administradores la capacidad de modificar los dominios federados. A partir de noviembre de 2023, los siguientes roles integrados de Microsoft Entra mantienen este permiso, además de los posibles roles personalizados:

El grupo de amenazas APT29 se aprovechó de este método en el infame ataque de diciembre de 2020 contra SolarWinds, llamado “Solorigate”, según documentan Microsoft y Mandiant.

Solución

Este hallazgo indica una puerta trasera potencial de un atacante. Inicie un procedimiento de respuesta ante incidentes con un análisis forense para confirmar el supuesto ataque, identificar el origen y la hora del ataque y evaluar el grado de la posible intrusión.

Para consultar la lista de dominios federados en Azure Portal, vaya a la hoja “Nombres de dominio personalizado” y busque aquellos que tengan una marca en la columna “Federado”. El nombre del dominio potencialmente malintencionado coincide con el que está marcado en el hallazgo. No obstante, a diferencia de MS Graph API, Azure Portal no muestra los detalles técnicos de la federación.

Use los cmdlets de PowerShell de MS Graph API para enumerar los dominios con Get-MgDomain y la configuración de federación con Get-MgDomainFederationConfiguration, de la manera siguiente:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

Después de guardar las pruebas para el análisis forense:

Puede seguir la guía de corrección de Microsoft “Rotación de emergencia de los certificados de AD FS”.

Para confirmar la operación, asegúrese de que el hallazgo informado por este indicador de exposición se haya solucionado.

Además, es importante prever que el atacante puede haber configurado otros mecanismos de persistencia, como puertas traseras. Pida la asistencia de los expertos en respuesta ante incidentes para que le ayuden a detectar y eliminar estas amenazas adicionales.

Tenga en cuenta que este tipo de ataque se aprovecha de la federación, que es una característica normal y legítima de Microsoft Entra ID. Para evitar ataques futuros, limite la cantidad de administradores que pueden modificar los ajustes de federación. Esta es una medida proactiva, dado que un atacante debe tener privilegios elevados para crear una puerta trasera de este tipo. Compruebe la descripción de la vulnerabilidad para conocer los permisos específicos y una lista de los roles.

Detalles del indicador

Nombre: Puerta trasera conocida de dominios federados

Nombre en clave: KNOWN-FEDERATED-DOMAIN-BACKDOOR

Gravedad: Critical

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: