Los investigadores de seguridad han descubierto una nueva variante de la infame técnica de ataque Golden SAML, que el equipo ha denominado "Silver SAML".
Con Silver SAML, los actores de amenazas pueden abusar del protocolo de autenticación Security Assertion Markup Language para lanzar ataques desde un proveedor de identidad como Entra ID contra aplicaciones que utilizan SAML para la autenticación, como Salesforce. Golden SAML se utilizó en el ciberataque Solarwinds de 2020, el hackeo de un estado-nación más sofisticado de la historia hasta la fecha. El grupo de hackers Nobelium, también conocido como Midnight Blizzard o Cozy Bear, inyectó código malicioso en el software de gestión de TI Orion de Solarwinds, infectando a miles de empresas, incluido el gobierno de Estados Unidos. Después de este ataque, la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA) recomendó que las organizaciones con entornos de identidad híbridos cambiaran la autenticación SAML a un sistema de identidad en la nube como Entra ID.
Protección contra Plata SAML
Para protegerse eficazmente contra ataques de plata en Entra ID, las organizaciones solo deben utilizar certificados Entra ID autofirmados para la firma SAML. Las organizaciones también deberían limitar la propiedad de las aplicaciones en Entra ID. También debe prestar atención a los cambios en las claves de firma, especialmente si la clave no está a punto de caducar.
“Después del ciberataque a Solarwinds, Microsoft y otros, incluido CISA, declararon que pasar a Entra ID (entonces Azure AD) protegería contra la falsificación de respuestas SAML, también conocidas como Golden SAML. "Desafortunadamente, la protección completa contra este tipo de ataques tiene más matices: cuando las organizaciones trasladan ciertas prácticas de administración de certificados de Active Directory Federation Services a Entra ID, las aplicaciones siguen siendo vulnerables a la falsificación de respuestas, a lo que nos referimos como Silver SAML", dijo Eric Woodruff, investigador de Semperis.
Los investigadores de Semperis clasifican la vulnerabilidad Silver como un riesgo moderado para las empresas. Sin embargo, si Silver SAML se utiliza para obtener acceso no autorizado a aplicaciones y sistemas críticos para el negocio, el riesgo podría aumentar a niveles graves dependiendo del sistema atacado.
Más en Semperis.com
Acerca de Semperis
Para los equipos de seguridad encargados de defender entornos híbridos y de múltiples nubes, Semperis garantiza la integridad y disponibilidad de los servicios de directorio empresarial críticos en cada paso de la cadena de ciberataque, reduciendo el tiempo de recuperación en un 90 por ciento.
Artículos relacionados con el tema