Período de validez inusual de certificados de firma de federación
MEDIUM
Idioma:
Descripción
En el caso de los dominios federados, a diferencia de los dominios administrados, un proveedor de identidad de terceros, como un servidor de Microsoft AD FS, maneja la autenticación en lugar de Entra ID. En esta configuración, Entra ID establece una relación de confianza con el proveedor de identidad.
Cuando AD FS funciona como proveedor de identidad, genera certificados de firma con un período de validez predeterminado de un año. Aunque se puede cambiar esta duración, sigue siendo la que predomina en la mayoría de los entornos.
Por lo tanto, es importante tener en cuenta que esta heurística sirve como indicio para comparar con la configuración vigente del proveedor de identidad, pero no es un indicador de vulneración (IoC) directo. En cambio, ofrece un indicio del comportamiento que se observa en ciertos ataques a Entra ID, como el ataque Solorigate.
Además, es importante tener en cuenta una limitación: el IoE no detectará a un atacante que inserte un certificado de firma fraudulento con una duración de un año (el valor predeterminado de la opción) o la misma duración que un certificado de firma normal en su entorno.
Solución
En primer lugar, valide que el certificado de firma asociado al dominio federado sea legítimo y que lo haya creado usted mismo con la configuración especificada en el proveedor de identidad.
Para consultar la lista de dominios federados en Azure Portal, vaya a la hoja “Nombres de dominio personalizados” y busque aquellos que tengan una marca en la columna “Federado”. El dominio potencialmente malintencionado tendrá el mismo nombre que el indicado en el hallazgo. No obstante, a diferencia de MS Graph API, en Azure Portal no se muestran los detalles técnicos de la federación.
Los cmdlets de PowerShell para MS Graph API le permiten enumerar los dominios con Get-MgDomain y la configuración de federación con Get-MgDomainFederationConfiguration:
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }
Si configuró el período de validez en un valor distinto al del proveedor de identidad en que confía Entra ID, ajuste en consecuencia el valor de la opción asociada. Como alternativa, considere la posibilidad de permitir el certificado de firma a través de una exclusión si esta configuración es específica de su instalación.
En la situación alternativa, lleve a cabo una investigación forense para decidir si el dominio federado se vio en peligro y evaluar el alcance de la vulneración. Dados los privilegios elevados necesarios para instalar este tipo de puerta trasera (que normalmente requieren el rol Administrador global, junto con roles de Entra menos conocidos), es probable que se produzca una vulneración total de Entra ID.
Después de guardar la evidencia para un eventual análisis forense:
- Si el dominio es ilegítimo, elimínelo usando
Remove-MgDomain. - Si el dominio es legítimo, pero la configuración de la federación es malintencionada, elimine la configuración de la federación con
Remove-MgDomainFederationConfiguration.
Si este dominio federado contiene otros certificados de firma legítimos, más adelante deberá volver a crearse manualmente con ellos.
Detalles del indicador
Nombre: Período de validez inusual de certificados de firma de federación
Nombre en clave: UNUSUAL-FEDERATION-SIGNING-CERTIFICATE-VALIDITY-PERIOD
Gravedad: Medium
Tipo: Microsoft Entra ID Indicator of Exposure