Siber güvenlik araştırmacıları yeni bir saldırı tekniğini ortaya çıkardılar. Gümüş SAML Golden SAML saldırılarına karşı hafifletmelerin uygulandığı durumlarda bile başarılı olabilir.
Semperis araştırmacıları Tomer Nahum ve Eric Woodruff, Silver SAML’nin “SAML’den yararlanarak Entra ID gibi bir kimlik sağlayıcıdan, Salesforce gibi kimlik doğrulama için onu kullanacak şekilde yapılandırılmış uygulamalara yönelik saldırılar başlatmasına olanak tanıdığını” söylüyor. söz konusu The Hacker News ile paylaşılan bir raporda.
Altın SAML (kısaltması) Güvenlik Onayı Biçimlendirme Dili) idi ilk belgelenen Özetle, saldırı vektörü, bir kuruluştaki hemen hemen her kimliği taklit etmek için birlikte çalışabilir kimlik doğrulama standardının kötüye kullanılmasını gerektirir.
Aynı zamanda şuna benzer: Altın Bilet saldırısı saldırganlara bir federasyondaki herhangi bir hizmete herhangi bir ayrıcalıkla yetkisiz erişim sağlama ve bu ortamda gizli bir şekilde kalıcı kalma yeteneği verir.
Güvenlik araştırmacısı Shaked Reiner, o dönemde “Altın SAML, bir federasyona, altın biletin Kerberos ortamında sunduğu avantajları (her türlü erişimden gizlice kalıcılığı sürdürmeye kadar) tanıtıyor” dedi.
Bu yöntemi kullanan gerçek dünya saldırıları nadirdir. Birinci kayıtlı kullanım olmak anlaşmak ile ilgili SolarRüzgarlar altyapı Güvenliği ihlal edilmiş SAML belirteci imzalama sertifikalarını kullanarak SAML belirteçlerini taklit ederek yönetim erişimi elde etmek.
Microsoft’un Eylül 2023’te yaptığı açıklamaya göre Golden SAML, Peach Sandstorm kod adlı İranlı bir tehdit aktörü tarafından Mart 2023’te isimsiz bir hedefin herhangi bir şifre gerektirmeden bulut kaynaklarına erişim sağlamak amacıyla yapılan bir saldırıda silah haline getirildi.
En son yaklaşım, Microsoft Entra ID (eski adıyla Azure Active Directory) gibi bir kimlik sağlayıcıyla (IdP) çalışan ve Active Directory Federasyon Hizmetlerine erişim gerektirmeyen Golden SAML’nin bir versiyonudur (AD FS). Kuruluşlara yönelik orta şiddette bir tehdit olarak değerlendirildi.
Araştırmacılar, “Microsoft, Entra ID kapsamında SAML yanıt imzalama için kendinden imzalı bir sertifika sağlıyor” dedi. “Alternatif olarak kuruluşlar, Okta’nınkiler gibi harici olarak oluşturulan bir sertifikayı kullanmayı seçebilirler. Ancak bu seçenek bir güvenlik riski doğurur.”
“Harici olarak oluşturulan bir sertifikanın özel anahtarını elde eden herhangi bir saldırgan, istediği herhangi bir SAML yanıtını taklit edebilir ve bu yanıtı Entra ID’nin tuttuğu özel anahtarla imzalayabilir. Bu tür sahte SAML yanıtıyla, saldırgan daha sonra uygulamaya erişebilir — herhangi bir kullanıcı olarak.”
2 Ocak 2024’te Microsoft’a yapılan sorumlu açıklamanın ardından şirket, sorunun acil servis çıtasını karşılamadığını ancak müşterileri korumak için gerektiği şekilde uygun önlemleri alacağını belirtti.
Silver SAML’nin yaygın olarak kötüye kullanıldığına dair bir kanıt olmasa da kuruluşların, SAML imzalama amacıyla yalnızca Entra ID otomatik imzalı sertifikaları kullanması gerekir. Semperis ayrıca şu adla anılan bir kavram kanıtını (PoC) kullanıma sundu: GümüşSAMLForger özel SAML yanıtları oluşturmak için.
Araştırmacılar, “Kuruluşlar, ApplicationManagement altında PreferredTokenSigningKeyThumbprint’te yapılan değişiklikler için Entra ID denetim günlüklerini izleyebilir” dedi.
“Bu olayları, hizmet sorumlusuyla ilgili hizmet sorumlusu kimlik bilgisi olaylarını eklemeyle ilişkilendirmeniz gerekecektir. Süresi dolmuş sertifikaların rotasyonu yaygın bir süreçtir, dolayısıyla denetim olaylarının meşru olup olmadığını belirlemeniz gerekecektir. Belgelemek için değişiklik kontrol süreçlerini uygulamak rotasyon, rotasyon olayları sırasında karışıklığın en aza indirilmesine yardımcı olabilir.”
