Sicherheitsforscher haben eine neue Variante der berüchtigten Golden SAML-Angriffstechnik, der das Team den Namen „Silver SAML“ gegeben hat, entdeckt.
Mit Silver SAML können Bedrohungsakteure das Authentifizierungsprotokoll Security Assertion Markup Language missbrauchen, um von einem Identitätsanbieter wie Entra ID aus Angriffe auf Anwendungen zu starten, die SAML für die Authentifizierung nutzen, wie beispielsweise Salesforce. Golden SAML wurde bei dem Cyberangriff auf Solarwinds im Jahr 2020 verwendet, dem bislang raffiniertesten nationalstaatlichen Hack der Geschichte. Die Hackergruppe Nobelium, auch bekannt als Midnight Blizzard oder Cozy Bear, hat bösartigen Code in die IT-Management-Software Orion von Solarwinds eingeschleust und damit Tausende von Unternehmen, darunter auch die US-Regierung, infiziert. Nach diesem Angriff empfahl die Cybersecurity Infrastructure Security Agency (CISA) Organisationen mit hybriden Identitätsumgebungen, die SAML-Authentifizierung auf ein Cloud-Identitätssystem wie Entra ID umzustellen.
Schutz vor Silver SAML
Um sich effektiv gegen Silver-Angriffe in Entra ID zu schützen, sollten Organisationen nur selbstsignierte Entra ID-Zertifikate für die SAML-Signierung verwenden. Organisationen sollten auch die Eigentumsrechte an Anwendungen in Entra ID einschränken. Außerdem sollten sie auf Änderungen an Signierschlüsseln achten, vor allem, wenn der Schlüssel nicht demnächst abläuft.
„Nach dem Cyberangriff auf Solarwinds erklärten Microsoft und andere, darunter auch die CISA, dass die Umstellung auf Entra ID (damals Azure AD) vor der Fälschung von SAML-Antworten, auch bekannt als Golden SAML, schützen würde. Leider ist der vollständige Schutz vor dieser Art von Angriffen differenzierter – wenn Unternehmen bestimmte Praktiken der Zertifikatsverwaltung von Active Directory Federation Services auf Entra ID übertragen, sind die Anwendungen immer noch anfällig für Antwortfälschungen, die wir als Silver SAML bezeichnen“, so Eric Woodruff, Forscher bei Semperis.
Die Semperis-Forscher stufen die Silver-Schwachstelle als ein mäßiges Risiko für Unternehmen ein. Sollte Silver SAML jedoch dazu verwendet werden, sich unbefugten Zugang zu geschäftskritischen Anwendungen und Systemen zu verschaffen, könnte das Risiko je nach dem angegriffenen System auf ein schweres Niveau ansteigen.
Mehr bei Semperis.com
Über Semperis
Für Sicherheitsteams, die mit der Verteidigung von hybriden und Multi-Cloud-Umgebungen betraut sind, stellt Semperis die Integrität und Verfügbarkeit von kritischen Enterprise-Directory-Diensten bei jedem Schritt in der Cyber-Kill-Chain sicher und verkürzt die Wiederherstellungszeit um 90 Prozent.
Passende Artikel zum Thema