SAML Silver evade las defensas GOLDEN SAML en los sistemas de identidad

Los investigadores de ciberseguridad han revelado una nueva técnica de ataque llamada Silver SAML que puede tener éxito incluso en los casos en los que se han aplicado mitigaciones contra los ataques Golden SAML.

Silver SAML "permite la explotación de SAML para lanzar ataques desde un proveedor de identidad como Entra ID contra aplicaciones configuradas para usarlo para la autenticación, como Salesforce", dijeron los investigadores de Semperis, Tomer Nahum y Eric Woodruff, en un informe compartido con The Hacker News.

Golden SAML (abreviatura de Security Assertion Markup Language) fue documentado por primera vez por CyberArk en 2017. El vector de ataque, en pocas palabras, implica el abuso del estándar de autenticación interoperable para suplantar casi cualquier identidad en una organización.

También es similar al ataque Golden Ticket en el sentido de que otorga a los atacantes la capacidad de obtener acceso no autorizado a cualquier servicio de una federación con privilegios y de permanecer persistentes en este entorno de manera sigilosa.

Golden SAML presenta a una federación las ventajas que ofrece Golden Ticket en un entorno Kerberos, desde obtener cualquier tipo de acceso hasta mantener sigilosamente la persistencia", señaló en ese momento el investigador de seguridad Shaked Reiner.

Los ataques en el mundo real que aprovechan el método han sido raros, y el primer uso registrado fue el compromiso de la infraestructura de SolarWinds para obtener acceso administrativo mediante la falsificación de tokens SAML utilizando certificados de firma de tokens SAML comprometidos.

Golden SAML también ha sido utilizado como arma por un actor de amenazas iraní con nombre en clave Peach Sandstorm en una intrusión de marzo de 2023 para acceder a los recursos en la nube de un objetivo sin nombre sin necesidad de contraseña, según reveló Microsoft en septiembre de 2023.


El enfoque más reciente es una versión de Golden SAML que funciona con un proveedor de identidades (IdP) como Microsoft Entra ID (anteriormente Azure Active Directory) y no requiere acceso a los Servicios de federación de Active Directory (AD FS). Se ha evaluado como una amenaza de gravedad moderada para las organizaciones.

"Dentro de Entra ID, Microsoft proporciona un certificado autofirmado para la firma de respuesta SAML", dijeron los investigadores. "Alternativamente, las organizaciones pueden optar por utilizar un certificado generado externamente, como los de Okta. Sin embargo, esa opción introduce un riesgo de seguridad".

"Cualquier atacante que obtenga la clave privada de un certificado generado externamente puede falsificar cualquier respuesta SAML que desee y firmar esa respuesta con la misma clave privada que tiene Entra ID. Con este tipo de respuesta SAML falsificada, el atacante puede acceder a la aplicación, como cualquier usuario".

Tras la divulgación responsable a Microsoft el 2 de enero de 2024, la compañía dijo que el problema no cumple con su estándar de servicio inmediato, pero señaló que tomará las medidas apropiadas según sea necesario para proteger a los clientes.

Si bien no hay evidencia de que Silver SAML haya sido explotado en la naturaleza, las organizaciones deben usar solo certificados autofirmados de Entra ID para fines de firma SAML. Semperis también ha puesto a disposición una prueba de concepto (PoC) denominada SilverSAMLForger para crear respuestas SAML personalizadas.

"Las organizaciones pueden monitorear los registros de auditoría de Entra ID para ver si hay cambios en PreferredTokenSigningKeyThumbprint en ApplicationManagement", dijeron los investigadores.

"Deberá correlacionar esos eventos con los eventos de credenciales de la entidad de servicio que se relacionan con la entidad de servicio. La rotación de certificados expirados es un proceso común, por lo que deberá determinar si los eventos de auditoría son legítimos. La implementación de procesos de control de cambios para documentar la rotación puede ayudar a minimizar la confusión durante los eventos de rotación".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta