Исследователи кибербезопасности раскрыли новую технику атаки под названием Silver SAML, которая может быть успешной даже в тех случаях, когда были применены средства защиты от атак Golden SAML.
Silver SAML "позволяет использовать SAML для запуска атак от поставщика идентификационных данных, такого как Entra ID, против приложений, настроенных на использование его для аутентификации, таких как Salesforce", - сказали исследователи Semperis Томер Наум и Эрик Вудрафф в отчете, опубликованном в Hacker News.
Golden SAML (сокращение от языка разметки утверждений безопасности) был впервые задокументирован CyberArk в 2017 году. Вектор атаки, в двух словах, влечет за собой злоупотребление совместимым стандартом аутентификации для олицетворения практически любой личности в организации.
Она также похожа на атаку Golden Ticket в том смысле, что предоставляет злоумышленникам возможность получать несанкционированный доступ к любому сервису в федерации с любыми привилегиями и оставаться постоянными в этой среде скрытным образом.
"Golden SAML предоставляет федерации преимущества, которые предлагает golden ticket в среде Kerberos – от получения любого типа доступа до скрытого поддержания постоянства", - отметила в то время исследователь безопасности Шакед Райнер.
Атаки с использованием этого метода в реальном мире были редкими, первым зарегистрированным использованием была компрометация инфраструктуры SolarWinds для получения административного доступа путем подделки токенов SAML с использованием скомпрометированных сертификатов подписи токенов SAML.
Компания Golden SAML также стала оружием иранского злоумышленника под кодовым названием Peach Sandstorm во время вторжения в марте 2023 года для доступа к облачным ресурсам неназванной цели без требования какого-либо пароля, сообщила Microsoft в сентябре 2023 года.
Новейший подход представляет собой дополнение к Golden SAML, который работает с поставщиком идентификационных данных (IdP), таким как Microsoft Entra ID (ранее Azure Active Directory), и не требует доступа к службам федерации Active Directory (AD FS). Она была оценена как угроза средней степени тяжести для организаций.
"В Entra ID Microsoft предоставляет самозаверяющий сертификат для подписи ответа SAML", - сказали исследователи. "В качестве альтернативы организации могут выбрать использование сертификата, сгенерированного извне, например, от Okta. Однако этот вариант создает угрозу безопасности."
"Любой злоумышленник, получивший закрытый ключ сгенерированного извне сертификата, может подделать любой ответ SAML, который он хочет, и подписать этот ответ тем же закрытым ключом, который хранится в Entra ID. С помощью этого типа поддельного ответа SAML злоумышленник может получить доступ к приложению — как любой пользователь."
После ответственного раскрытия информации Microsoft 2 января 2024 года компания заявила, что проблема не соответствует ее планке для немедленного устранения, но отметила, что при необходимости предпримет соответствующие действия для защиты клиентов.
Хотя нет доказательств того, что Silver SAML использовался в естественных условиях, организации обязаны использовать только самозаверяющие сертификаты Entra ID для целей подписания SAML. Semperis также предоставила средство проверки концепции (PoC), получившее название SilverSAMLForger, для создания пользовательских ответов SAML.
"Организации могут отслеживать журналы аудита Entra ID на предмет изменений в PreferredTokenSigningKeyThumbprint в разделе ApplicationManagement", - сказали исследователи.
"Вам нужно будет сопоставить эти события, чтобы добавить события учетных данных участника-службы, которые относятся к участнику-службе. Ротация сертификатов с истекшим сроком действия является обычным процессом, поэтому вам нужно будет определить, являются ли события аудита законными. Внедрение процессов контроля изменений для документирования ротации может помочь свести к минимуму путаницу во время событий ротации."
