Pesquisadores de cibersegurança divulgaram uma nova técnica de ataque chamada Silver SAML que pode ser bem-sucedida mesmo em casos onde as medidas de mitigação foram aplicadas contra ataques Golden SAML.
Silver SAML "permite a exploração do SAML para lançar ataques de um provedor de identidade como Entra ID contra aplicações configuradas para usá-lo para autenticação, como o Salesforce," disseram os pesquisadores da Semperis, Tomer Nahum e Eric Woodruff, em um relatório compartilhado com o The Hacker News.
Golden SAML (abreviação de Security Assertion Markup Language) foi documentado pela primeira vez pela CyberArk em 2017.
O vetor de ataque, em resumo, envolve o abuso do padrão de autenticação interoperável para se passar por quase qualquer identidade em uma organização.
Também é semelhante ao ataque Golden Ticket, pois concede aos invasores a capacidade de obter acesso não autorizado a qualquer serviço em uma federação com privilégios quaisquer e permanecer nesse ambiente de maneira furtiva.
"Golden SAML introduz a uma federação as vantagens que o Golden Ticket oferece em um ambiente Kerberos - desde obter qualquer tipo de acesso até a manutenção furtiva de persistência," o pesquisador de segurança Shaked Reiner observou na época.
Ataques reais que utilizam o método tem sido raros, o primeiro uso registrado foi o comprometimento da infraestrutura SolarWinds para obter acesso administrativo forjando tokens SAML usando certificados comprometidos de assinatura de token SAML.
Golden SAML também foi usado por um ator de ameaça iraniano codinome Peach Sandstorm em uma intrusão de março de 2023 para acessar recursos de nuvem de um alvo sem nome sem a necessidade de qualquer senha, revelou a Microsoft em setembro de 2023.
A última abordagem é uma variação do Golden SAML que funciona com um provedor de identidade (IdP) como o Microsoft Entra ID (anteriormente Azure Active Directory) e não requer acesso aos Serviços de Federação do Active Directory (AD FS).
Ele foi avaliado como uma ameaça de gravidade moderada para as organizações.
"Dentro do Entra ID, a Microsoft fornece um certificado autoassinado para a assinatura de resposta SAML", disseram os pesquisadores.
"Alternativamente, as organizações podem optar por usar um certificado gerado externamente, como os da Okta.
Porém, essa opção introduz um risco de segurança."
"Qualquer invasor que obtenha a chave privada de um certificado gerado externamente pode forjar qualquer resposta SAML que desejar e assinar essa resposta com a mesma chave privada que o Entra ID possui.
Com esse tipo de resposta SAML falsificada, o invasor pode então acessar o aplicativo - como qualquer usuário."
Após a divulgação responsável para a Microsoft em 2 de janeiro de 2024, a empresa disse que o problema não atende aos seus critérios para um serviço imediato, mas observou que tomará as medidas apropriadas conforme necessário para proteger os clientes.
Embora não haja evidências de que o Silver SAML tenha sido explorado em ambiente real, as organizações são obrigadas a usar apenas certificados autoassinados do Entra ID para fins de assinatura SAML.
A Semperis também disponibilizou uma prova de conceito (PoC) chamada SilverSAMLForger para criar respostas personalizadas do SAML.
"As organizações podem monitorar os logs de auditoria do Entra ID para alterações em PreferredTokenSigningKeyThumbprint em ApplicationManagement", disseram os pesquisadores.
"Você precisará correlacionar esses eventos aos eventos de adição de credenciais do principal de serviço que se relacionam ao principal de serviço.
A rotação de certificados expirados é um processo comum, então você precisará determinar se os eventos de auditoria são legítimos.
A implementação de processos de controle de alterações para documentar a rotação pode ajudar a minimizar a confusão durante os eventos de rotação."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...