I ricercatori di sicurezza hanno scoperto una nuova variante della famigerata tecnica di attacco Golden SAML, che il team ha chiamato “Silver SAML”.
Con Silver SAML, gli autori delle minacce possono abusare del protocollo di autenticazione Security Assertion Markup Language per lanciare attacchi da un provider di identità come Entra ID contro applicazioni che utilizzano SAML per l'autenticazione, come Salesforce. Golden SAML è stato utilizzato nell’attacco informatico Solarwinds del 2020, l’hacking a livello nazionale più sofisticato mai registrato fino ad oggi. Il gruppo di hacker Nobelium, noto anche come Midnight Blizzard o Cozy Bear, ha iniettato codice dannoso nel software di gestione IT Orion di Solarwinds, infettando migliaia di aziende, compreso il governo degli Stati Uniti. A seguito di questo attacco, la Cybersecurity Infrastructure Security Agency (CISA) ha raccomandato alle organizzazioni con ambienti di identità ibridi di trasferire l’autenticazione SAML a un sistema di identità cloud come Entra ID.
Protezione contro Silver SAML
Per proteggersi efficacemente dagli attacchi Silver in Entra ID, le organizzazioni devono utilizzare solo certificati Entra ID autofirmati per la firma SAML. Le organizzazioni dovrebbero inoltre limitare la proprietà delle applicazioni in Entra ID. Dovresti anche prestare attenzione alle modifiche alle chiavi di firma, soprattutto se la chiave non sta per scadere.
“Dopo l’attacco informatico di Solarwinds, Microsoft e altri, tra cui CISA, hanno dichiarato che il passaggio a Entra ID (poi Azure AD) avrebbe protetto dalla falsificazione delle risposte SAML, note anche come Golden SAML. "Purtroppo, la protezione completa contro questi tipi di attacchi è più sfumata: quando le organizzazioni spostano determinate pratiche di gestione dei certificati da Active Directory Federation Services a Entra ID, le applicazioni sono ancora vulnerabili alla falsificazione delle risposte, a cui ci riferiamo come Silver SAML", ha affermato Eric Woodruff, ricercatore presso Semperis.
I ricercatori Semperis classificano la vulnerabilità Silver come un rischio moderato per le aziende. Tuttavia, se Silver SAML viene utilizzato per ottenere l'accesso non autorizzato ad applicazioni e sistemi business-critical, il rischio potrebbe aumentare fino a livelli gravi a seconda del sistema attaccato.
Altro su Semperis.com
A proposito di Semperis
Per i team di sicurezza incaricati di difendere ambienti ibridi e multi-cloud, Semperis garantisce l'integrità e la disponibilità dei servizi di directory aziendali critici in ogni fase della catena di cyber kill, riducendo i tempi di ripristino del 90%.
Articoli relativi all'argomento