Investigadores de ciberseguridad han revelado una nueva técnica de ataque llamada Plata SAML eso puede tener éxito incluso en los casos en los que se han aplicado mitigaciones contra los ataques Golden SAML.
Silver SAML «permite la explotación de SAML para lanzar ataques desde un proveedor de identidad como Entra ID contra aplicaciones configuradas para usarlo para autenticación, como Salesforce», dijeron los investigadores de Semperis Tomer Nahum y Eric Woodruff. dicho en un informe compartido con The Hacker News.
SAML dorado (abreviatura de Lenguaje de marcado de afirmación de seguridad) era documentado por primera vez por CyberArk en 2017. El vector de ataque, en pocas palabras, implica el abuso del estándar de autenticación interoperable para suplantar casi cualquier identidad en una organización.
También es similar al Ataque del billete dorado en el sentido de que otorga a los atacantes la capacidad de obtener acceso no autorizado a cualquier servicio en una federación con cualquier privilegio y permanecer persistentes en este entorno de manera sigilosa.
«Golden SAML presenta a una federación las ventajas que ofrece el ticket dorado en un entorno Kerberos: desde obtener cualquier tipo de acceso hasta mantener sigilosamente la persistencia», señaló en ese momento el investigador de seguridad Shaked Reiner.
Los ataques en el mundo real que aprovechan este método han sido raros, primero uso registrado siendo el compromiso de Vientos solares infraestructura para obtener acceso administrativo falsificando tokens SAML utilizando certificados de firma de tokens SAML comprometidos.
Golden SAML también ha sido utilizado como arma por un actor de amenazas iraní con nombre en código Peach Sandstorm en una intrusión de marzo de 2023 para acceder a los recursos de la nube de un objetivo anónimo sin requerir ninguna contraseña, reveló Microsoft en septiembre de 2023.
El último enfoque es una versión de Golden SAML que funciona con un proveedor de identidad (IdP) como Microsoft Entra ID (anteriormente Azure Active Directory) y no requiere acceso a los Servicios de federación de Active Directory (AD FS). Se ha evaluado como una amenaza de gravedad moderada para las organizaciones.
«Dentro de Entra ID, Microsoft proporciona un certificado autofirmado para firmar la respuesta SAML», dijeron los investigadores. «Como alternativa, las organizaciones pueden optar por utilizar un certificado generado externamente, como los de Okta. Sin embargo, esa opción introduce un riesgo de seguridad».
«Cualquier atacante que obtenga la clave privada de un certificado generado externamente puede falsificar cualquier respuesta SAML que desee y firmar esa respuesta con la misma clave privada que posee Entra ID. Con este tipo de respuesta SAML falsificada, el atacante puede acceder a la aplicación. como cualquier usuario.»
Tras la divulgación responsable a Microsoft el 2 de enero de 2024, la compañía dijo que el problema no cumple con sus estándares de servicio inmediato, pero señaló que tomará las medidas adecuadas según sea necesario para proteger a los clientes.
Si bien no hay evidencia de que Silver SAML haya sido explotado en la naturaleza, las organizaciones deben usar solo certificados autofirmados de Entra ID para fines de firma de SAML. Semperis también ha puesto a disposición una prueba de concepto (PoC) denominada PlataSAMLForger para crear respuestas SAML personalizadas.
«Las organizaciones pueden monitorear los registros de auditoría de Entra ID para detectar cambios en PreferredTokenSigningKeyThumbprint en ApplicationManagement», dijeron los investigadores.
«Deberá correlacionar esos eventos con Agregar eventos de credenciales de entidad de servicio que se relacionan con la entidad de servicio. La rotación de certificados caducados es un proceso común, por lo que deberá determinar si los eventos de auditoría son legítimos. Implementar procesos de control de cambios para documentar la rotación puede ayudar a minimizar la confusión durante los eventos de rotación».