비정상적 페더레이션 서명 인증서 유효 기간

페더레이션 도메인의 경우 관리형 도메인과 달리 Entra ID 대신에 Microsoft AD FS 서버와 같은 타사 ID 공급자가 인증을 처리합니다. 이 설정에서는 Entra ID가 ID 공급자와 트러스트 관계를 설정합니다.

AD FS가 ID 공급자 역할을 하는 경우, 기본 유효 기간이 1년인 서명 인증서를 생성합니다. 이 기간을 변경할 수는 있지만 대부분의 환경에서는 1년이 일반적입니다.

따라서 이 추론이 ID 공급자의 효과적인 구성과 비교해야 함을 나타내는 지표 역할을 하지만, 직접적인 침해 지표(IoC)는 아니라는 사실을 주의하는 것이 중요합니다. 대신에 Solorigate 공격과 같은 특정 Entra ID 공격에서 관찰되는 동작의 지표가 됩니다.

또한 이 IoE는 공격자가 사용자의 환경에 기간이 1년(옵션의 기본값) 또는 정상 서명 인증서와 같은 기간인 비정상적 서명 인증서를 삽입하더라도 그러한 공격자를 탐지하지 않는다는 한계를 주의하는 것이 중요합니다.

우선, 페더레이션 도메인과 연결된 서명 인증서가 적법한지 및 사용자가 해당 인증서를 ID 공급자의 지정된 구성으로 직접 만들었는지 확인합니다.

Azure 포털에서 페더레이션 도메인 목록을 확인하려면 "사용자 지정 도메인 이름" 블레이드로 이동하여 "페더레이션" 열에서 체크 표시가 있는 항목을 파악합니다. 악성 도메인일 가능성이 있는 도메인은 발견 사항에 표시된 것과 이름이 같습니다. 하지만 Azure 포털에는 MS Graph API와 달리 페더레이션의 기술적 세부 정보가 표시되지 않습니다.

MS Graph API의 PowerShell cmdlet을 사용하면 Get-MgDomain을 사용해 도메인을 나열하고 Get-MgDomainFederationConfiguration을 사용해 해당 도메인의 페더레이션 구성을 나열할 수 있습니다.

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

Entra ID가 신뢰하는 ID 공급자에서 유효 기간을 다르게 구성한 경우, 연결된 옵션의 값을 그에 따라 조정해야 합니다. 또는 이 구성이 관련된 설정에 지정된 것이라면 제외를 통해 서명 인증서를 허용해 볼 수도 있습니다.

또 다른 시나리오에서는 포렌식 조사를 실시하여 페더레이션 도메인 침해가 발생했는지 판단하고 침해 정도를 평가할 수도 있습니다. 이런 유형의 백도어를 설치하는 데 필요한 상승된 권한을 고려할 때(보통 덜 알려진 Entra 역할과 더불어 "전역 관리자" 역할이 필요함) Entra ID 전체가 침해되었을 가능성이 큽니다.

최종적인 포렌식 분석을 위한 증거를 저장​한 후:

• 도메인이 불법인 경우, Remove-MgDomain을 사용하여 제거합니다.
• 도메인은 적법하지만 페더레이션 구성이 악성인 경우, Remove-MgDomainFederationConfiguration을 사용하여 페더레이션 구성을 제거합니다.

이 페더레이션 도메인에 다른 적법한 서명 인증서가 포함된 경우, 나중에 그러한 인증서를 사용하여 도메인을 직접 다시 만들어야 합니다.

이름: 비정상적 페더레이션 서명 인증서 유효 기간

코드명: UNUSUAL-FEDERATION-SIGNING-CERTIFICATE-VALIDITY-PERIOD

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure