Silver SAML: новая атака обходит защиту от Golden SAML

Специалисты компании Semperis описали новую технику атаки на системы идентификации под названием Silver SAML. Она работает даже в тех организациях, которые уже приняли меры против классической Golden SAML — то есть считали себя защищёнными.

Что за атака

По словам исследователей Semperis Томера Нахума и Эрика Вудраффа, Silver SAML «позволяет использовать SAML для атаки со стороны провайдера идентификации, такого как Entra ID, на приложения, настроенные на аутентификацию через него — например, Salesforce».

Сама технология SAML (Security Assertion Markup Language) — стандарт для обмена данными аутентификации между провайдером идентификации и приложениями. Golden SAML, впервые описанная CyberArk в 2017 году, злоупотребляет этим стандартом, чтобы злоумышленник мог выдать себя практически за любого пользователя организации. По сути это аналог атаки Golden Ticket, только не для Kerberos, а для федераций SAML: как отмечал тогда исследователь CyberArk Шейкед Райнер, «Golden SAML привносит в федерацию те же преимущества, что Golden Ticket даёт в среде Kerberos — от получения любого доступа до скрытого сохранения присутствия».

Реальных случаев эксплуатации Golden SAML зафиксировано немного. Первым известным стала атака на инфраструктуру SolarWinds, где злоумышленники подделывали SAML-токены с помощью украденных сертификатов для их подписи и получали административный доступ. Позже, в марте 2023 года, эту технику применила иранская хакерская группа Peach Sandstorm — она получила доступ к облачным ресурсам жертвы без единого пароля, о чём Microsoft рассказала в конце прошлого года.

Чем Silver SAML отличается

Новая техника — вариация Golden SAML, но работает она непосредственно с провайдером идентификации вроде Microsoft Entra ID (бывшая Azure Active Directory) и не требует доступа к Active Directory Federation Services (AD FS). Уровень угрозы исследователи оценили как средний.

Суть проблемы — в сертификатах для подписи SAML-ответов. «В Entra ID Microsoft предоставляет самоподписанный сертификат для подписи SAML-ответов, — поясняют в Semperis. — Альтернативно организации могут использовать внешний сертификат, например от Okta. Однако этот вариант создаёт риск безопасности».

Если атакующий получает закрытый ключ такого внешнего сертификата, он может подделать любой SAML-ответ и подписать его тем же ключом, которым пользуется Entra ID. С подделанным ответом злоумышленник получает доступ к приложению от имени любого пользователя.

Реакция Microsoft и рекомендации

Semperis сообщила о проблеме Microsoft 2 января 2024 года в рамках ответственного раскрытия. Компания ответила, что уязвимость не дотягивает до порога немедленного исправления, но пообещала принять необходимые меры для защиты клиентов.

Доказательств эксплуатации Silver SAML в реальных атаках пока нет. Тем не менее организациям рекомендуют использовать для подписи SAML исключительно самоподписанные сертификаты Entra ID, а не внешние. Semperis также выпустила proof-of-concept инструмент под названием SilverSAMLForger, демонстрирующий создание кастомных SAML-ответов.

Для обнаружения подобной активности исследователи советуют отслеживать журналы аудита Entra ID на предмет изменений параметра PreferredTokenSigningKeyThumbprint в разделе ApplicationManagement и сопоставлять их с событиями добавления учётных данных сервис-принципала (Add service principal credential). Поскольку ротация истёкших сертификатов — обычный процесс, важно уметь отличать легитимные события от подозрительных; внедрение процедур контроля изменений с документированием ротации сертификатов поможет снизить путаницу.

Источник: The Hacker News.