Des chercheurs en cybersécurité ont dévoilé une nouvelle technique d’attaque appelée Argent SAML cela peut réussir même dans les cas où des mesures d’atténuation ont été appliquées contre les attaques Golden SAML.
Silver SAML « permet d’exploiter SAML pour lancer des attaques à partir d’un fournisseur d’identité comme Entra ID contre des applications configurées pour l’utiliser pour l’authentification, comme Salesforce », affirment Tomer Nahum et Eric Woodruff, chercheurs au Semperis. dit dans un rapport partagé avec The Hacker News.
Golden SAML (abréviation de Langage de balisage d’assertion de sécurité) était documenté pour la première fois par CyberArk en 2017. Le vecteur d’attaque, en un mot, implique l’abus de la norme d’authentification interopérable pour usurper l’identité de presque n’importe quelle identité dans une organisation.
C’est également similaire au Attaque du ticket d’or en ce sens qu’il donne aux attaquants la possibilité d’obtenir un accès non autorisé à n’importe quel service d’une fédération avec n’importe quel privilège et de rester persistant dans cet environnement de manière furtive.
« Golden SAML présente à une fédération les avantages qu’offre Golden Ticket dans un environnement Kerberos – depuis l’obtention de tout type d’accès jusqu’au maintien furtif de la persistance », notait à l’époque le chercheur en sécurité Shaked Reiner.
Les attaques réelles exploitant cette méthode ont été rares. d’abord utilisation enregistrée étant le compromis de Vents solaires Infrastructure pour obtenir un accès administratif en falsifiant des jetons SAML à l’aide de certificats de signature de jetons SAML compromis.
Golden SAML a également été utilisé comme arme par un acteur menaçant iranien nommé Peach Sandstorm lors d’une intrusion en mars 2023 pour accéder aux ressources cloud d’une cible anonyme sans nécessiter de mot de passe, a révélé Microsoft en septembre 2023.
La dernière approche est une variante de Golden SAML qui fonctionne avec un fournisseur d’identité (IdP) tel que Microsoft Entra ID (anciennement Azure Active Directory) et ne nécessite pas d’accès aux services de fédération Active Directory (ADFS). Il a été évalué comme une menace de gravité modérée pour les organisations.
« Dans Entra ID, Microsoft fournit un certificat auto-signé pour la signature des réponses SAML », ont indiqué les chercheurs. « Alternativement, les organisations peuvent choisir d’utiliser un certificat généré en externe, comme ceux d’Okta. Cependant, cette option introduit un risque de sécurité.
« Tout attaquant qui obtient la clé privée d’un certificat généré en externe peut falsifier n’importe quelle réponse SAML de son choix et signer cette réponse avec la même clé privée que celle détenue par Entra ID. Avec ce type de réponse SAML falsifiée, l’attaquant peut alors accéder à l’application – comme n’importe quel utilisateur. »
Suite à une divulgation responsable à Microsoft le 2 janvier 2024, la société a déclaré que le problème ne répondait pas à ses exigences en matière de réparation immédiate, mais a indiqué qu’elle prendrait les mesures appropriées nécessaires pour protéger les clients.
Bien qu’il n’y ait aucune preuve que Silver SAML ait été exploité à l’état sauvage, les organisations sont tenues d’utiliser uniquement des certificats auto-signés Entra ID à des fins de signature SAML. Semperis a également mis à disposition une preuve de concept (PoC) baptisée ArgentSAMLForger pour créer des réponses SAML personnalisées.
« Les organisations peuvent surveiller les journaux d’audit Entra ID pour détecter les modifications apportées à PreferredTokenSigningKeyThumbprint sous ApplicationManagement », ont déclaré les chercheurs.
« Vous devrez corréler ces événements avec les événements d’identification d’ajout du principal de service qui se rapportent au principal de service. La rotation des certificats expirés est un processus courant, vous devrez donc déterminer si les événements d’audit sont légitimes. Mettre en œuvre des processus de contrôle des modifications pour documenter la rotation peut aider à minimiser la confusion lors des événements de rotation.