信任修改

对手可能会添加新的域信任，修改现有域信任的属性，或以其他方式更改域和租户之间的信任关系配置，以规避防御和/或提升权限。信任详细信息，例如用户身份是否联合，允许身份验证和授权属性在域或租户之间应用，以访问共享资源。(引用: Microsoft - Azure AD Federation) 这些信任对象可能包括应用于服务器、令牌和域的帐户、凭据和其他身份验证材料。 操纵这些信任可能允许对手通过修改设置以添加他们控制的对象来提升权限和/或规避防御。例如，在 Microsoft Active Directory (AD) 环境中，这可以用来伪造SAML 令牌，而无需破坏签名证书来伪造新凭据。相反，对手可以操纵域信任以添加自己的签名证书。对手还可以使用 Active Directory 联合服务 (AD FS) 将 AD 域转换为联合域，这可能使恶意信任修改成为可能，例如更改声明发布规则，以指定用户身份登录任何有效的凭据集。(引用: AADInternals zure AD Federated Domain) 对手还可以向身份租户（如 Okta 或 AWS IAM 身份中心）添加新的联合身份提供者，这可能使对手能够以租户的任何用户身份进行身份验证。(引用: Okta Cross-Tenant Impersonation 2023) 这可能使威胁行为者能够广泛访问利用身份租户的各种基于云的服务。例如，在 AWS 环境中，创建新身份提供者的对手将能够联合到所有 AWS 组织成员帐户，而无需为每个成员帐户创建身份。(引用: AWS RE:Inforce Threat Detection 2024)