{"id":1209648,"date":"2024-02-29T18:43:38","date_gmt":"2024-02-29T18:43:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-ataque-silver-saml-evade-las-defensas-golden-saml-en-sistemas-de-identidad\/"},"modified":"2024-02-29T18:43:43","modified_gmt":"2024-02-29T18:43:43","slug":"el-nuevo-ataque-silver-saml-evade-las-defensas-golden-saml-en-sistemas-de-identidad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-ataque-silver-saml-evade-las-defensas-golden-saml-en-sistemas-de-identidad\/","title":{"rendered":"El nuevo ataque Silver SAML evade las defensas Golden SAML en sistemas de identidad"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Inteligencia de amenazas\/amenaza cibern\u00e9tica<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han revelado una nueva t\u00e9cnica de ataque llamada Plata SAML<\/strong> eso puede tener \u00e9xito incluso en los casos en los que se han aplicado mitigaciones contra los ataques Golden SAML.<\/p>\n

Silver SAML “permite la explotaci\u00f3n de SAML para lanzar ataques desde un proveedor de identidad como Entra ID contra aplicaciones configuradas para usarlo para autenticaci\u00f3n, como Salesforce”, dijeron los investigadores de Semperis Tomer Nahum y Eric Woodruff. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

SAML dorado (abreviatura de Lenguaje de marcado de afirmaci\u00f3n de seguridad<\/a>) era documentado por primera vez<\/a> por CyberArk en 2017. El vector de ataque, en pocas palabras, implica el abuso del est\u00e1ndar de autenticaci\u00f3n interoperable para suplantar casi cualquier identidad en una organizaci\u00f3n.<\/p>\n

Tambi\u00e9n es similar al Ataque del billete dorado<\/a> en el sentido de que otorga a los atacantes la capacidad de obtener acceso no autorizado a cualquier servicio en una federaci\u00f3n con cualquier privilegio y permanecer persistentes en este entorno de manera sigilosa.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Golden SAML presenta a una federaci\u00f3n las ventajas que ofrece el ticket dorado en un entorno Kerberos: desde obtener cualquier tipo de acceso hasta mantener sigilosamente la persistencia”, se\u00f1al\u00f3 en ese momento el investigador de seguridad Shaked Reiner.<\/p>\n

Los ataques en el mundo real que aprovechan este m\u00e9todo han sido raros, primero<\/a> uso registrado<\/a> siendo el compromiso<\/a> de Vientos solares<\/a> infraestructura<\/a> para obtener acceso administrativo falsificando tokens SAML utilizando certificados de firma de tokens SAML comprometidos.<\/p>\n

Golden SAML tambi\u00e9n ha sido utilizado como arma por un actor de amenazas iran\u00ed con nombre en c\u00f3digo Peach Sandstorm en una intrusi\u00f3n de marzo de 2023 para acceder a los recursos de la nube de un objetivo an\u00f3nimo sin requerir ninguna contrase\u00f1a, revel\u00f3 Microsoft en septiembre de 2023.<\/p>\n

\"Ataque<\/a><\/div>\n

El \u00faltimo enfoque es una versi\u00f3n de Golden SAML que funciona con un proveedor de identidad (IdP) como Microsoft Entra ID (anteriormente Azure Active Directory) y no requiere acceso a los Servicios de federaci\u00f3n de Active Directory (AD FS<\/a>). Se ha evaluado como una amenaza de gravedad moderada para las organizaciones.<\/p>\n

“Dentro de Entra ID, Microsoft proporciona un certificado autofirmado para firmar la respuesta SAML”, dijeron los investigadores. “Como alternativa, las organizaciones pueden optar por utilizar un certificado generado externamente, como los de Okta. Sin embargo, esa opci\u00f3n introduce un riesgo de seguridad”.<\/p>\n

“Cualquier atacante que obtenga la clave privada de un certificado generado externamente puede falsificar cualquier respuesta SAML que desee y firmar esa respuesta con la misma clave privada que posee Entra ID. Con este tipo de respuesta SAML falsificada, el atacante puede acceder a la aplicaci\u00f3n. como cualquier usuario.”<\/p>\n

Tras la divulgaci\u00f3n responsable a Microsoft el 2 de enero de 2024, la compa\u00f1\u00eda dijo que el problema no cumple con sus est\u00e1ndares de servicio inmediato, pero se\u00f1al\u00f3 que tomar\u00e1 las medidas adecuadas seg\u00fan sea necesario para proteger a los clientes.<\/p>\n

\"La<\/a><\/center><\/div>\n

Si bien no hay evidencia de que Silver SAML haya sido explotado en la naturaleza, las organizaciones deben usar solo certificados autofirmados de Entra ID para fines de firma de SAML. Semperis tambi\u00e9n ha puesto a disposici\u00f3n una prueba de concepto (PoC) denominada PlataSAMLForger<\/a> para crear respuestas SAML personalizadas.<\/p>\n

“Las organizaciones pueden monitorear los registros de auditor\u00eda de Entra ID para detectar cambios en PreferredTokenSigningKeyThumbprint en ApplicationManagement”, dijeron los investigadores.<\/p>\n

“Deber\u00e1 correlacionar esos eventos con Agregar eventos de credenciales de entidad de servicio que se relacionan con la entidad de servicio. La rotaci\u00f3n de certificados caducados es un proceso com\u00fan, por lo que deber\u00e1 determinar si los eventos de auditor\u00eda son leg\u00edtimos. Implementar procesos de control de cambios para documentar la rotaci\u00f3n puede ayudar a minimizar la confusi\u00f3n durante los eventos de rotaci\u00f3n”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n