Дослідники безпеки виявили новий варіант сумнозвісної техніки атаки Golden SAML, яку команда назвала «Silver SAML».
За допомогою Silver SAML зловмисники можуть зловживати протоколом автентифікації Security Assertion Markup Language, щоб запускати атаки від постачальника ідентифікаційної інформації, наприклад Entra ID, проти програм, які використовують SAML для автентифікації, наприклад Salesforce. Golden SAML був використаний у кібератаці Solarwinds у 2020 році, найскладнішому зламі національних держав в історії. Хакерська група Nobelium, також відома як Midnight Blizzard або Cozy Bear, впровадила шкідливий код у програмне забезпечення для управління ІТ Orion від Solarwinds, заразивши тисячі компаній, включаючи уряд США. Після цієї атаки Агентство безпеки інфраструктури кібербезпеки (CISA) рекомендувало організаціям із середовищами гібридної ідентифікації переключити автентифікацію SAML на хмарну систему ідентифікації, таку як Entra ID.
Захист від Silver SAML
Для ефективного захисту від срібних атак у Entra ID організації повинні використовувати лише самопідписані сертифікати Entra ID для підпису SAML. Організаціям також слід обмежити право власності на програми в Entra ID. Слід також звернути увагу на зміни в ключах підпису, особливо якщо термін дії ключа ще не закінчився.
«Після кібератаки Solarwinds Microsoft та інші, включаючи CISA, заявили, що перехід на Entra ID (тоді Azure AD) захистить від підробки відповідей SAML, також відомого як Golden SAML. «На жаль, повний захист від таких типів атак має більш нюанси: коли організації переносять певні практики керування сертифікатами з Active Directory Federation Services на Entra ID, програми залишаються вразливими до підробки відповідей, яку ми називаємо Silver SAML», — сказав Ерік. Вудрафф, дослідник Semperis.
Дослідники Semperis класифікують уразливість Silver як помірний ризик для компаній. Однак якщо Silver SAML використовується для отримання несанкціонованого доступу до критично важливих для бізнесу програм і систем, ризик може зрости до серйозних рівнів залежно від системи, яку атакують.
Більше на Semperis.com
Про Semperis
Для команд безпеки, яким доручено захистити гібридні та багатохмарні середовища, Semperis забезпечує цілісність і доступність критично важливих корпоративних служб каталогів на кожному етапі ланцюжка кіберзагроз, скорочуючи час відновлення на 90 відсотків.
Статті по темі