Descripción

Un inquilino de Microsoft Entra puede federarse con un dominio externo para establecer una relación de confianza con otro dominio a los efectos de autenticación y autorización. No obstante, si agentes malintencionados obtienen privilegios elevados en Microsoft Entra ID, pueden aprovecharse de este mecanismo de federación para crear una puerta trasera al agregar su propio dominio federado o editar uno existente para agregar una configuración secundaria con sus propias opciones.

Se recomienda evitar dejar dominios personalizados sin verificar configurados en Entra ID durante un período prolongado.

Hasta el segundo trimestre de 2020, cuando Microsoft corrigió el problema, incluso era posible crear una puerta trasera de dominio federado mediante un nuevo dominio sin verificar. Esto se lograba mediante el cmdlet New-AADIntBackdoor de la herramienta de ataque de código abierto AADInternals.

Este indicador de exposición enumera todos los dominios personalizados sin verificar en el entorno de Entra ID, lo que le permite verificar su legitimidad.

Solución

Debe abordar los dominios personalizados sin verificar que se enumeran en los hallazgos de este indicador de exposición, ya que podrían ser, o facilitar, una posible puerta trasera de un atacante.

Para ver la lista de dominios en Azure Portal, vaya a la hoja Nombres de dominio personalizados y busque dominios marcados como “No comprobado” en la columna “Estado”. Cualquier dominio potencialmente malintencionado coincidirá con el nombre que aparece en los hallazgos. Los cmdlets de PowerShell de MS Graph API le permiten enumerar los dominios con Get-MgDomain:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | ? { $_.IsVerified -eq $True }

Complete la configuración de esos dominios sin verificar o quítelos.

Si es un dominio de confianza legítimo, debe crear las entradas de DNS necesarias con el registrador de dominios y luego completar el proceso de verificación.

De lo contrario, lleve a cabo una investigación forense para decidir si el dominio se vio en peligro y evaluar el alcance de la vulneración. Dado que, para agregar un dominio personalizado normalmente se requieren privilegios elevados, como el rol Administrador global y, posiblemente, otros roles de Entra menos conocidos, es probable que se produzca una vulneración total de Entra ID si estos privilegios se usan de manera incorrecta.

Después de guardar la evidencia para un posible análisis forense, si considera que el dominio es ilegítimo, quítelo con Remove-MgDomain. Por último, prevea que es posible que el atacante puede haber establecido otros mecanismos de persistencia, como puertas traseras. Consulte con expertos en respuesta ante incidentes para detectar y eliminar estas amenazas adicionales.

Detalles del indicador

Nombre: Dominio sin verificar

Nombre en clave: UNVERIFIED-DOMAIN

Gravedad: Low

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: