吳明宜網路安全研究人員揭露一種名為 Silver SAML 的新攻擊手法,在已安裝 Golden SAML 攻擊保護的系統中仍然能成功。
「Silver SAML 可從 Entra ID 等身份驗證服務對使用該服務的應用系統,如 Salesforce 發動 SAML 濫用攻擊,」Semperis 安全研究人員 Tomer Nahum 和 Eric Woodruff 表示。
Golden SAML 最早是 2017 年 CyberArk 提出。簡單地說,它會造成相容身份驗證標準的濫用,導致能濫用組織裏幾乎任何身份,讓攻擊者以任何權限存取聯邦化服務 (federation),並暗中潛藏在受害組織環境中。
這些攻擊手法真實生活中很少見,首見於 2020 年的 SolarWinds 駭入事件中,攻擊者利用竊來的 SAML token 憑證假造 SAML token,再取得管理員權限。
2023 年三月由代號 Peach Sandstorm 的伊朗駭客再度使用 Golden SAML 手法,存取了一家不知名受害企業的雲端資源但不需密碼,本次事件由微軟去年揭露。
最新攻擊手法則是 Golden SAML 的再進化,專門針對像微軟 Entra ID 的身份驗證服務,不需取得 Active Directory Federation Service(AD FS) 憑證即可辦到。在 Entra ID 中,微軟提供 SAML 回應簽章的憑證,這可以防止 Golden SAML 濫用,但是壞就壞在,企業也可以使用外部單位,如 Okta 產生的憑證。這種選擇帶來了風險,讓取得外部憑證私鑰的攻擊者可假造 SAML 回應,再以 Entra ID 持有的同一把私鑰簽發。這麼一來,攻擊者就能冒充合法使用者存取應用。安全研究人員評估為中度風險威脅,Semperis 也公佈了概念驗證攻擊程式 SilverSAMLForger 以建立自製的 SAML 回應。
安全研究人員於今年一月向微軟通報該漏洞,但微軟認為還未到緊急修補的程度,但表示必要時會採取動作解決漏洞。
雖然目前沒有證據 Silver SAML 漏洞有人濫用,不過企業最好只使用 Entra ID 自有憑證進行 SAML 回應簽發,因為他們可以監控 Entra ID audit log,經由嚴格控管憑證的輪換,防止憑證被冒充。
來源: The Hacker News