セキュリティ研究者は、悪名高い Golden SAML 攻撃手法の新たな亜種を発見し、チームはこれを「Silver SAML」と名付けました。
Silver SAML を使用すると、脅威アクターは Security Assertion Markup Language 認証プロトコルを悪用し、Entra ID などの ID プロバイダーから Salesforce などの認証に SAML を使用するアプリケーションに対して攻撃を開始することができます。 Golden SAML は、これまでの歴史の中で最も高度な国家へのハッキングである 2020 年の Solarwinds サイバー攻撃で使用されました。 Midnight Blizzard または Cozy Bear としても知られるハッカー グループ Nobelium は、Solarwinds の Orion IT 管理ソフトウェアに悪意のあるコードを挿入し、米国政府を含む数千の企業に感染しました。この攻撃を受けて、サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA) は、ハイブリッド ID 環境を持つ組織に対して SAML 認証を Entra ID などのクラウド ID システムに切り替えることを推奨しました。
Silver SAML に対する保護
Entra ID での Silver 攻撃から効果的に保護するには、組織は SAML 署名に自己署名 Entra ID 証明書のみを使用する必要があります。組織は、Entra ID でのアプリケーションの所有権も制限する必要があります。特にキーの有効期限が切れていない場合は、署名キーの変更にも注意する必要があります。
「Solarwinds のサイバー攻撃の後、Microsoft と CISA を含むその他の企業は、Entra ID (当時は Azure AD) に移行することで、ゴールデン SAML とも呼ばれる SAML 応答の偽造を防ぐことができると述べました。 「残念ながら、この種の攻撃に対する完全な保護はより微妙です。組織が特定の証明書管理慣行を Active Directory フェデレーション サービスから Entra ID に移行しても、アプリケーションは依然として応答偽造に対して脆弱です。これを私たちは Silver SAML と呼んでいます。」と Eric 氏は述べています。ウッドラフ、センペリスの研究者。
Semperis の研究者は、Silver の脆弱性を企業にとって中程度のリスクとして分類しています。ただし、Silver SAML がビジネス クリティカルなアプリケーションやシステムへの不正アクセスに使用された場合、攻撃されるシステムによっては、リスクが深刻なレベルに増加する可能性があります。
詳しくはSemperis.comをご覧ください
センペリスについて
ハイブリッドおよびマルチクラウド環境を防御する任務を負ったセキュリティ チームに対して、Semperis はサイバー キル チェーンのあらゆる段階で重要なエンタープライズ ディレクトリ サービスの整合性と可用性を確保し、復旧時間を 90% 短縮します。
トピックに関連する記事