Специалисты компании Semperis описали новую технику атаки на системы идентификации под названием Silver SAML. Она работает даже в тех организациях, которые уже приняли меры против классической Golden SAML — то есть считали себя защищёнными.
Что за атака
По словам исследователей Semperis Томера Нахума и Эрика Вудраффа, Silver SAML «позволяет использовать SAML для атаки со стороны провайдера идентификации, такого как Entra ID, на приложения, настроенные на аутентификацию через него — например, Salesforce».
Сама технология SAML (Security Assertion Markup Language) — стандарт для обмена данными аутентификации между провайдером идентификации и приложениями. Golden SAML, впервые описанная CyberArk в 2017 году, злоупотребляет этим стандартом, чтобы злоумышленник мог выдать себя практически за любого пользователя организации. По сути это аналог атаки Golden Ticket, только не для Kerberos, а для федераций SAML: как отмечал тогда исследователь CyberArk Шейкед Райнер, «Golden SAML привносит в федерацию те же преимущества, что Golden Ticket даёт в среде Kerberos — от получения любого доступа до скрытого сохранения присутствия».
Реальных случаев эксплуатации Golden SAML зафиксировано немного. Первым известным стала атака на инфраструктуру SolarWinds, где злоумышленники подделывали SAML-токены с помощью украденных сертификатов для их подписи и получали административный доступ. Позже, в марте 2023 года, эту технику применила иранская хакерская группа Peach Sandstorm — она получила доступ к облачным ресурсам жертвы без единого пароля, о чём Microsoft рассказала в конце прошлого года.
Чем Silver SAML отличается
Новая техника — вариация Golden SAML, но работает она непосредственно с провайдером идентификации вроде Microsoft Entra ID (бывшая Azure Active Directory) и не требует доступа к Active Directory Federation Services (AD FS). Уровень угрозы исследователи оценили как средний.
Суть проблемы — в сертификатах для подписи SAML-ответов. «В Entra ID Microsoft предоставляет самоподписанный сертификат для подписи SAML-ответов, — поясняют в Semperis. — Альтернативно организации могут использовать внешний сертификат, например от Okta. Однако этот вариант создаёт риск безопасности».
Если атакующий получает закрытый ключ такого внешнего сертификата, он может подделать любой SAML-ответ и подписать его тем же ключом, которым пользуется Entra ID. С подделанным ответом злоумышленник получает доступ к приложению от имени любого пользователя.
Реакция Microsoft и рекомендации
Semperis сообщила о проблеме Microsoft 2 января 2024 года в рамках ответственного раскрытия. Компания ответила, что уязвимость не дотягивает до порога немедленного исправления, но пообещала принять необходимые меры для защиты клиентов.
Доказательств эксплуатации Silver SAML в реальных атаках пока нет. Тем не менее организациям рекомендуют использовать для подписи SAML исключительно самоподписанные сертификаты Entra ID, а не внешние. Semperis также выпустила proof-of-concept инструмент под названием SilverSAMLForger, демонстрирующий создание кастомных SAML-ответов.
Для обнаружения подобной активности исследователи советуют отслеживать журналы аудита Entra ID на предмет изменений параметра PreferredTokenSigningKeyThumbprint в разделе ApplicationManagement и сопоставлять их с событиями добавления учётных данных сервис-принципала (Add service principal credential). Поскольку ротация истёкших сертификатов — обычный процесс, важно уметь отличать легитимные события от подозрительных; внедрение процедур контроля изменений с документированием ротации сертификатов поможет снизить путаницу.
Источник: The Hacker News.