SolarWinds saldırısının arkasındaki tehdit aktörünün şirketin Orion ağ yönetimi ürününü tehlikeye atması ve onu hedef kurumsal ağlara sızmak için kullanmasının ardından grup, o ortamdaki farklı uygulama ve hizmetlere kalıcı erişimi sürdürmek için sıklıkla “Altın SAML” adı verilen bir teknik kullandı.
Teknik, kurban kuruluşun Active Directory Federasyon Hizmetleri (ADFS) belirteç imzalama sertifikasının çalınmasını ve bunun SAML yanıt belirteçlerini taklit etmek için kullanılmasını içeriyordu. Jetonlar Tehdit aktörüne izin verildi kurbanın ağında istedikleri herhangi bir federal hizmette, parola veya iki faktörlü kimlik doğrulama olmadan, kendilerine atanmış yönetici ve süper yönetici ayrıcalıklarıyla kimlik doğrulaması yapma.
Altın SAML Tekniğinde Bir Değişiklik
Bu hafta Semperis’teki araştırmacılar yayınlanan ayrıntılar Keşfettikleri ve “Gümüş SAML” adını verdikleri tekniğin yeni bir versiyonu. Orijinali gibi Silver SAML de SAML yanıtı sahteciliği içeriyor ancak saldırganın ADFS’ye erişmesini gerektirmiyor. Semperis, aynı zamanda Microsoft Entra ID’de (eski adıyla Azure AD) ve harici olarak oluşturulan SAML imzalama sertifikalarının içe aktarılmasına izin veren diğer kimlik sağlayıcı ortamlarında da çalıştığını söyledi.
Semperis araştırmacısı Eric Woodruff, “Asıl fark, saldırının uygulandığı yerdir” diyor. “Golden SAML geçmişte Entra ID’ye ve ardından isteğe bağlı olarak diğer uygulamalara geçmek için kullanıldı. Silver SAML yalnızca uygulamalara geçmenize izin verir; Entra ID’nin kendisini ihlal etmezsiniz.”
Birçok kuruluş, kurumsal ayarlarda ve birden fazla SaaS ve Azure, AWS ve Google Cloud gibi bulut hizmetlerinde kullanıcılar için tek oturum açmayı (SSO) etkinleştirmek için SAML belirteci tabanlı bir mimari kullanır. SAML aracılığıyla SaaS veya muticloud SSO için, bir kullanıcı bir hizmete veya uygulamaya ilk erişim talebinde bulunduğunda hizmet, Entra ID gibi bir kimlik sağlayıcıya bir SAML isteği gönderir. Kimlik sağlayıcı, kullanıcının kimliğini doğrular ve kullanıcının kimlik bilgilerini ve kullanıcı adı, gruplar ve diğer nitelikler gibi diğer ayrıntıları doğrulayan imzalı bir SAML belirteci oluşturur. Servis sağlayıcı, jetonu, genellikle dijital olarak imzalanmış bir SAML yanıtı veya XML belgesi aracılığıyla alır.
Golden SAML saldırısında CyberArk ilk olarak 2017’de tanımlandı — bir düşman ADFS belirteç imzalama sertifikasını çalar ve bunu kullanarak SAML jetonlarını oluştur Kendilerine herhangi bir birleşik hizmete ve uygulamaya ve seçtikleri herhangi bir ayrıcalık düzeyine erişim izni veriyorlar.
Dışarıdan Oluşturulan İmza Sertifikaları
Silver SAML, Entra ID gibi bir kimlik sağlayıcının kuruluşlara, SAML yanıtlarını imzalamak için kendinden imzalı veya harici olarak genel sertifikalar (güvenilir bir sertifika yetkilisi aracılığıyla olanlar gibi) kullanma seçeneği sunduğunda işe yarayan bir yaklaşımdır. Woodruff, çoğu zaman kuruluşların, SAML yanıtları için harici olarak oluşturulan imzalama sertifikalarını, bunların bir şekilde daha güçlü oldukları inancıyla veya kurumsal çaptaki daha geniş bir politikanın harici sertifikaların kullanımını zorunlu kılabileceği inancıyla kullanmayı tercih ettiğini söylüyor. Ancak başka bağlamlarda geçerli olabilecek sertifika yönetimi ve yaşam döngüsü uygulamalarının SAML’ye uygulandığında tehlikeli olabileceğini söylüyor.
Woodruff, “Gümüş SAML yalnızca imzalama sertifikasının harici olarak Entra ID’den oluşturulması durumunda mümkündür; sertifikanın harici bir imzalama yetkilisinden mi yoksa harici olarak kendinden imzalı mı olduğu önemli değildir.” diye belirtiyor. “Sertifika Entra ID içinde oluşturulmuşsa, özel anahtar dışarı aktarılamaz ve bu anahtar olmadan SAML yanıtının sahteleştirilmesi mümkün değildir.”
Woodruff, bir kuruluş harici imzalama sertifikasının kullanımına izin verdiğinde, bunu çalmayı başaran bir saldırganın daha sonra sertifikayı herhangi bir Entra ID SAML yanıtını taklit etmek için kullanabileceğini söylüyor. Bu sertifikaları almak, kuruluşların bazen sertifikaları güvenli olmayan şekilde yönetmesi nedeniyle genellikle sanıldığından daha kolay olabilir. Semperis raporunda, örneğin bazı kuruluşların güvenli olmayan istemci sistemlerinde veya Web sunucularında kendinden imzalı sertifikalar oluşturup sakladığını ve bunları makinelerin yerel sertifika deposunda dışa aktarılmak üzere kullanılabilir durumda bıraktığını söyledi. Diğer durumlarda, bir kuruluş e-postaya, Slack’e veya Teams’e ek olarak bir imzalama sertifikası gönderebilir ve bunun şifresi de onunla birlikte gönderilir.
Woodruff, “Hala ADFS’ye sahip olan veya hâlâ ADFS’ye sahip olan kuruluşlar için Entra ID’ye geçişte artış yaşandı ve kuruluşların taşınacak yüzlerce uygulaması olabilir” diyor. “Bu örneklerin çoğunda muhtemelen danışmanlarla çalışacaklar ve amaca uygun olmayan bir şekilde, sertifika yönetimi konusunda en az dirençli yolu seçecekler.” Bir kuruluş, harici olarak oluşturulan bir imzalama sertifikasını Azure Key Vault gibi güvenli bir uygulamada depolayabildiğinde bile, bir saldırganın buna erişip SAML yanıtını imzalamak için kullanabileceği yollar bulunduğunu söylüyor.
SilverSAMLForger Konsept Kanıtı
Silver SAML saldırısının nasıl gerçekleşebileceğini göstermek için Semperis’teki araştırmacılar, Entra ID yanıtını taklit eden ve harici olarak oluşturulan bir sertifikayla imzalanan bir SAML yanıtı oluşturan bir “SilverSAMLForger” kavram kanıtlama aracı geliştirdiler. Araştırma, harici olarak oluşturulan sertifikaları kullanan kuruluşların neden bunları güvenli bir şekilde yönetmeye dikkat etmesi ve bunların Seviye 0 veya kritik bir kaynak olarak korunmasını sağlaması gerektiğini vurguluyor.
Bir saldırganın Silver SAML aracılığıyla verebileceği potansiyel hasara rağmen Woodruff, bunu kuruluşlar için orta şiddette bir tehdit olarak değerlendiriyor. Bunun nedeni, yalnızca bir kuruluşun harici olarak oluşturulan sertifikaları kullandığı ve bunları güvenli bir şekilde yönetmediği durumlarda çalışmasıdır. “Ayrıca saldırının ciddiyetini değerlendirmek de zor çünkü bu her kuruluşa göre değişiklik gösterecek” diyor. “Bu, Entra’ya ne tür uygulamaları birleştirdiklerine bağlı.”