Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9voil\u00e9 une nouvelle technique d’attaque appel\u00e9e Argent SAML<\/strong> cela peut r\u00e9ussir m\u00eame dans les cas o\u00f9 des mesures d\u2019att\u00e9nuation ont \u00e9t\u00e9 appliqu\u00e9es contre les attaques Golden SAML.<\/p>\n Silver SAML “permet d’exploiter SAML pour lancer des attaques \u00e0 partir d’un fournisseur d’identit\u00e9 comme Entra ID contre des applications configur\u00e9es pour l’utiliser pour l’authentification, comme Salesforce”, affirment Tomer Nahum et Eric Woodruff, chercheurs au Semperis. dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n Golden SAML (abr\u00e9viation de Langage de balisage d’assertion de s\u00e9curit\u00e9<\/a>) \u00e9tait document\u00e9 pour la premi\u00e8re fois<\/a> par CyberArk en 2017. Le vecteur d’attaque, en un mot, implique l’abus de la norme d’authentification interop\u00e9rable pour usurper l’identit\u00e9 de presque n’importe quelle identit\u00e9 dans une organisation.<\/p>\n C’est \u00e9galement similaire au Attaque du ticket d’or<\/a> en ce sens qu’il donne aux attaquants la possibilit\u00e9 d’obtenir un acc\u00e8s non autoris\u00e9 \u00e0 n’importe quel service d’une f\u00e9d\u00e9ration avec n’importe quel privil\u00e8ge et de rester persistant dans cet environnement de mani\u00e8re furtive.<\/p>\n “Golden SAML pr\u00e9sente \u00e0 une f\u00e9d\u00e9ration les avantages qu’offre Golden Ticket dans un environnement Kerberos – depuis l’obtention de tout type d’acc\u00e8s jusqu’au maintien furtif de la persistance”, notait \u00e0 l’\u00e9poque le chercheur en s\u00e9curit\u00e9 Shaked Reiner.<\/p>\n Les attaques r\u00e9elles exploitant cette m\u00e9thode ont \u00e9t\u00e9 rares. d’abord<\/a> utilisation enregistr\u00e9e<\/a> \u00e9tant le compromis<\/a> de Vents solaires<\/a> Infrastructure<\/a> pour obtenir un acc\u00e8s administratif en falsifiant des jetons SAML \u00e0 l’aide de certificats de signature de jetons SAML compromis.<\/p>\n Golden SAML a \u00e9galement \u00e9t\u00e9 utilis\u00e9 comme arme par un acteur mena\u00e7ant iranien nomm\u00e9 Peach Sandstorm lors d’une intrusion en mars 2023 pour acc\u00e9der aux ressources cloud d’une cible anonyme sans n\u00e9cessiter de mot de passe, a r\u00e9v\u00e9l\u00e9 Microsoft en septembre 2023.<\/p>\n La derni\u00e8re approche est une variante de Golden SAML qui fonctionne avec un fournisseur d’identit\u00e9 (IdP) tel que Microsoft Entra ID (anciennement Azure Active Directory) et ne n\u00e9cessite pas d’acc\u00e8s aux services de f\u00e9d\u00e9ration Active Directory (ADFS<\/a>). Il a \u00e9t\u00e9 \u00e9valu\u00e9 comme une menace de gravit\u00e9 mod\u00e9r\u00e9e pour les organisations.<\/p>\n “Dans Entra ID, Microsoft fournit un certificat auto-sign\u00e9 pour la signature des r\u00e9ponses SAML”, ont indiqu\u00e9 les chercheurs. \u00ab Alternativement, les organisations peuvent choisir d’utiliser un certificat g\u00e9n\u00e9r\u00e9 en externe, comme ceux d’Okta. Cependant, cette option introduit un risque de s\u00e9curit\u00e9.<\/p>\n “Tout attaquant qui obtient la cl\u00e9 priv\u00e9e d’un certificat g\u00e9n\u00e9r\u00e9 en externe peut falsifier n’importe quelle r\u00e9ponse SAML de son choix et signer cette r\u00e9ponse avec la m\u00eame cl\u00e9 priv\u00e9e que celle d\u00e9tenue par Entra ID. Avec ce type de r\u00e9ponse SAML falsifi\u00e9e, l’attaquant peut alors acc\u00e9der \u00e0 l’application – comme n’importe quel utilisateur.”<\/p>\n Suite \u00e0 une divulgation responsable \u00e0 Microsoft le 2 janvier 2024, la soci\u00e9t\u00e9 a d\u00e9clar\u00e9 que le probl\u00e8me ne r\u00e9pondait pas \u00e0 ses exigences en mati\u00e8re de r\u00e9paration imm\u00e9diate, mais a indiqu\u00e9 qu’elle prendrait les mesures appropri\u00e9es n\u00e9cessaires pour prot\u00e9ger les clients.<\/p>\n Bien qu’il n’y ait aucune preuve que Silver SAML ait \u00e9t\u00e9 exploit\u00e9 \u00e0 l’\u00e9tat sauvage, les organisations sont tenues d’utiliser uniquement des certificats auto-sign\u00e9s Entra ID \u00e0 des fins de signature SAML. Semperis a \u00e9galement mis \u00e0 disposition une preuve de concept (PoC) baptis\u00e9e ArgentSAMLForger<\/a> pour cr\u00e9er des r\u00e9ponses SAML personnalis\u00e9es.<\/p>\n “Les organisations peuvent surveiller les journaux d’audit Entra ID pour d\u00e9tecter les modifications apport\u00e9es \u00e0 PreferredTokenSigningKeyThumbprint sous ApplicationManagement”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n “Vous devrez corr\u00e9ler ces \u00e9v\u00e9nements avec les \u00e9v\u00e9nements d’identification d’ajout du principal de service qui se rapportent au principal de service. La rotation des certificats expir\u00e9s est un processus courant, vous devrez donc d\u00e9terminer si les \u00e9v\u00e9nements d’audit sont l\u00e9gitimes. Mettre en \u0153uvre des processus de contr\u00f4le des modifications pour documenter la rotation peut aider \u00e0 minimiser la confusion lors des \u00e9v\u00e9nements de rotation.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/La-nouvelle-attaque-Silver-SAML-echappe-aux-defenses-Golden-SAML.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n