Neue Variante der SAML-Angriffstechnik

B2B Cyber Security ShortNews

Beitrag teilen

Sicherheitsforscher haben eine neue Variante der berüchtigten Golden SAML-Angriffstechnik, der das Team den Namen „Silver SAML“ gegeben hat, entdeckt.

Mit Silver SAML können Bedrohungsakteure das Authentifizierungsprotokoll Security Assertion Markup Language missbrauchen, um von einem Identitätsanbieter wie Entra ID aus Angriffe auf Anwendungen zu starten, die SAML für die Authentifizierung nutzen, wie beispielsweise Salesforce. Golden SAML wurde bei dem Cyberangriff auf Solarwinds im Jahr 2020 verwendet, dem bislang raffiniertesten nationalstaatlichen Hack der Geschichte. Die Hackergruppe Nobelium, auch bekannt als Midnight Blizzard oder Cozy Bear, hat bösartigen Code in die IT-Management-Software Orion von Solarwinds eingeschleust und damit Tausende von Unternehmen, darunter auch die US-Regierung, infiziert. Nach diesem Angriff empfahl die Cybersecurity Infrastructure Security Agency (CISA) Organisationen mit hybriden Identitätsumgebungen, die SAML-Authentifizierung auf ein Cloud-Identitätssystem wie Entra ID umzustellen.

Anzeige

Schutz vor Silver SAML

Um sich effektiv gegen Silver-Angriffe in Entra ID zu schützen, sollten Organisationen nur selbstsignierte Entra ID-Zertifikate für die SAML-Signierung verwenden. Organisationen sollten auch die Eigentumsrechte an Anwendungen in Entra ID einschränken. Außerdem sollten sie auf Änderungen an Signierschlüsseln achten, vor allem, wenn der Schlüssel nicht demnächst abläuft.

„Nach dem Cyberangriff auf Solarwinds erklärten Microsoft und andere, darunter auch die CISA, dass die Umstellung auf Entra ID (damals Azure AD) vor der Fälschung von SAML-Antworten, auch bekannt als Golden SAML, schützen würde. Leider ist der vollständige Schutz vor dieser Art von Angriffen differenzierter – wenn Unternehmen bestimmte Praktiken der Zertifikatsverwaltung von Active Directory Federation Services auf Entra ID übertragen, sind die Anwendungen immer noch anfällig für Antwortfälschungen, die wir als Silver SAML bezeichnen“, so Eric Woodruff, Forscher bei Semperis.

Die Semperis-Forscher stufen die Silver-Schwachstelle als ein mäßiges Risiko für Unternehmen ein. Sollte Silver SAML jedoch dazu verwendet werden, sich unbefugten Zugang zu geschäftskritischen Anwendungen und Systemen zu verschaffen, könnte das Risiko je nach dem angegriffenen System auf ein schweres Niveau ansteigen.

Mehr bei Semperis.com

 


Über Semperis
Für Sicherheitsteams, die mit der Verteidigung von hybriden und Multi-Cloud-Umgebungen betraut sind, stellt Semperis die Integrität und Verfügbarkeit von kritischen Enterprise-Directory-Diensten bei jedem Schritt in der Cyber-Kill-Chain sicher und verkürzt die Wiederherstellungszeit um 90 Prozent.


Passende Artikel zum Thema

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen

Ransomware-Angriff auf Fraunhofer-Institut

Ein Ransomware-Angriffe hat bereits am 27. Dezember 2024 das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Stuttgart getroffen. Das Institut ➡ Weiterlesen

Prognosen für 2025

Die Cybersecurity-Landschaft entwickelt sich mit atemberaubender Geschwindigkeit. Für 2025 zeichnen sich bereits heute einige kritische Entwicklungen ab, die besonders Unternehmen ➡ Weiterlesen

Schutz vor KI-Jailbreaks durch Open-Source-Tool 

FuzzyAI, ein quelloffenes Framework, hat bislang für jedes getestete Modell einen KI-Jailbreak gefunden. Es hilft Unternehmen, Schwachstellen in ihren KI-Modellen ➡ Weiterlesen

Zero-Day-Schwachstelle lässt Fernzugriff zu 

Die Arctic Wolf Labs Threat Intelligence Teams haben neue schädliche Aktivitäten im Zusammenhang mit der von Huntress aufgedeckten Zero-Day-Schwachstelle in ➡ Weiterlesen

Neue Ransomware Ymir entdeckt

Den Experten ist eine neue Ransomware mit ausgeklügelten Verschleierungstechniken in Netz gegangen. Die Malware Ymir nutzt Whitelist-Funktionen um der Entdeckung ➡ Weiterlesen