Güvenlik araştırmacıları, ekibin "Gümüş SAML" adını verdiği kötü şöhretli Altın SAML saldırı tekniğinin yeni bir versiyonunu keşfetti.
Silver SAML ile tehdit aktörleri, Salesforce gibi kimlik doğrulama için SAML kullanan uygulamalara karşı Entra ID gibi bir kimlik sağlayıcısından saldırılar başlatmak için Güvenlik Onayı Biçimlendirme Dili kimlik doğrulama protokolünü kötüye kullanabilir. Golden SAML, bugüne kadar tarihteki en karmaşık ulus devlet saldırısı olan 2020 Solarwinds siber saldırısında kullanıldı. Midnight Blizzard veya Cozy Bear olarak da bilinen hacker grubu Nobelium, Solarwinds'in Orion BT yönetim yazılımına kötü amaçlı kod enjekte ederek ABD hükümeti dahil binlerce şirkete bulaştı. Bu saldırının ardından Siber Güvenlik Altyapı Güvenliği Ajansı (CISA), hibrit kimlik ortamlarına sahip kuruluşların SAML kimlik doğrulamasını Entra ID gibi bir bulut kimlik sistemine geçirmesini önerdi.
Gümüş SAML'ye karşı koruma
Entra ID'deki gümüş saldırılarına karşı etkili bir şekilde korunmak amacıyla kuruluşların, SAML imzalama için yalnızca kendinden imzalı Entra ID sertifikalarını kullanması gerekir. Kuruluşlar ayrıca Entra ID'deki uygulamaların sahipliğini de sınırlamalıdır. Ayrıca, özellikle anahtarın süresi dolmak üzere değilse, imzalama anahtarlarında yapılan değişikliklere de dikkat etmelisiniz.
“Solarwinds siber saldırısından sonra Microsoft ve CISA dahil diğerleri, Entra ID'ye (daha sonra Azure AD) geçmenin, Altın SAML olarak da bilinen sahte SAML yanıtlarına karşı koruma sağlayacağını belirtti. Eric, "Maalesef bu tür saldırılara karşı tam koruma daha incelikli; kuruluşlar belirli sertifika yönetimi uygulamalarını Active Directory Federasyon Hizmetleri'nden Entra ID'ye taşıdığında, uygulamalar yanıt sahteciliğine karşı hala savunmasızdır, buna da Gümüş SAML adını veriyoruz" dedi. Woodruff, Semperis'te araştırmacı.
Semperis araştırmacıları Silver güvenlik açığını şirketler için orta düzeyde bir risk olarak sınıflandırıyor. Ancak Silver SAML, iş açısından kritik uygulama ve sistemlere yetkisiz erişim sağlamak için kullanılırsa, saldırıya uğrayan sisteme bağlı olarak risk ciddi seviyelere çıkabilir.
Daha fazlası Semperis.com'da
Semperis Hakkında
Hibrit ve çoklu bulut ortamlarını savunmakla görevli güvenlik ekipleri için Semperis, siber öldürme zincirinin her adımında kritik kurumsal dizin hizmetlerinin bütünlüğünü ve kullanılabilirliğini sağlayarak kurtarma süresini yüzde 90 oranında azaltır.
Konuyla ilgili makaleler