Les chercheurs en sécurité ont découvert une nouvelle variante de la célèbre technique d’attaque Golden SAML, que l’équipe a baptisée « Silver SAML ».
Avec Silver SAML, les acteurs malveillants peuvent abuser du protocole d'authentification Security Assertion Markup Language pour lancer des attaques à partir d'un fournisseur d'identité tel qu'Entra ID contre des applications qui utilisent SAML pour l'authentification, telles que Salesforce. Golden SAML a été utilisé lors de la cyberattaque Solarwinds de 2020, le piratage d’État-nation le plus sophistiqué de l’histoire à ce jour. Le groupe de hackers Nobelium, également connu sous le nom de Midnight Blizzard ou Cozy Bear, a injecté un code malveillant dans le logiciel de gestion informatique Orion de Solarwinds, infectant des milliers d'entreprises, dont le gouvernement américain. Suite à cette attaque, la Cybersecurity Infrastructure Security Agency (CISA) a recommandé aux organisations disposant d'environnements d'identité hybrides de basculer l'authentification SAML vers un système d'identité cloud tel qu'Entra ID.
Protection contre Silver SAML
Pour se protéger efficacement contre les attaques Silver dans Entra ID, les organisations doivent utiliser uniquement des certificats Entra ID auto-signés pour la signature SAML. Les organisations doivent également limiter la propriété des applications dans Entra ID. Vous devez également prêter attention aux modifications apportées aux clés de signature, surtout si la clé n’est pas sur le point d’expirer.
« Après la cyberattaque de Solarwinds, Microsoft et d'autres, dont CISA, ont déclaré que le passage à Entra ID (puis Azure AD) protégerait contre la falsification de réponses SAML, également connues sous le nom de Golden SAML. « Malheureusement, la protection complète contre ces types d'attaques est plus nuancée : lorsque les organisations déplacent certaines pratiques de gestion de certificats des services de fédération Active Directory vers Entra ID, les applications restent vulnérables à la falsification de réponses, que nous appelons Silver SAML », a déclaré Eric. Woodruff, chercheur à Semperis.
Les chercheurs de Semperis classent la vulnérabilité Silver comme un risque modéré pour les entreprises. Cependant, si Silver SAML est utilisé pour obtenir un accès non autorisé à des applications et systèmes critiques pour l'entreprise, le risque pourrait atteindre des niveaux graves en fonction du système attaqué.
Plus sur Semperis.com
À propos de Semperis
Pour les équipes de sécurité chargées de défendre les environnements hybrides et multi-cloud, Semperis garantit l'intégrité et la disponibilité des services d'annuaire d'entreprise critiques à chaque étape de la cyber-kill chain, réduisant ainsi le temps de récupération de 90 %.
Articles liés au sujet