Pesquisadores de segurança descobriram uma nova variante da infame técnica de ataque Golden SAML, que a equipe chamou de “Silver SAML”.
Com o Silver SAML, os agentes de ameaças podem abusar do protocolo de autenticação Security Assertion Markup Language para lançar ataques de um provedor de identidade, como o Entra ID, contra aplicativos que usam SAML para autenticação, como o Salesforce. Golden SAML foi usado no ataque cibernético Solarwinds de 2020, o hack de estado-nação mais sofisticado da história até hoje. O grupo de hackers Nobelium, também conhecido como Midnight Blizzard ou Cosy Bear, injetou código malicioso no software de gerenciamento de TI Orion da Solarwinds, infectando milhares de empresas, incluindo o governo dos EUA. Após este ataque, a Agência de Segurança de Infraestrutura de Segurança Cibernética (CISA) recomendou que as organizações com ambientes de identidade híbrida mudassem a autenticação SAML para um sistema de identidade em nuvem, como o Entra ID.
Proteção contra Silver SAML
Para proteger eficazmente contra ataques de prata no Entra ID, as organizações devem utilizar apenas certificados Entra ID autoassinados para assinatura SAML. As organizações também devem limitar a propriedade de aplicativos no Entra ID. Você também deve prestar atenção às alterações nas chaves de assinatura, especialmente se a chave não estiver prestes a expirar.
“Após o ataque cibernético da Solarwinds, a Microsoft e outros, incluindo a CISA, declararam que a mudança para o Entra ID (então Azure AD) protegeria contra a falsificação de respostas SAML, também conhecidas como Golden SAML. “Infelizmente, a proteção completa contra esses tipos de ataques tem mais nuances – quando as organizações transferem certas práticas de gerenciamento de certificados dos Serviços de Federação do Active Directory para o Entra ID, os aplicativos ainda ficam vulneráveis à falsificação de respostas, que chamamos de Silver SAML”, disse Eric. Woodruff, pesquisador da Semperis.
Os pesquisadores da Semperis classificam a vulnerabilidade Silver como um risco moderado para as empresas. No entanto, se o Silver SAML for usado para obter acesso não autorizado a aplicações e sistemas críticos para os negócios, o risco poderá aumentar para níveis graves, dependendo do sistema que está sendo atacado.
Mais em Semperis.com
Sobre Semperis
Para as equipes de segurança encarregadas de defender ambientes híbridos e multinuvem, a Semperis garante a integridade e a disponibilidade de serviços críticos de diretório empresarial em cada etapa da cadeia de destruição cibernética, reduzindo o tempo de recuperação em 90%.
Artigos relacionados ao tema