Атакующий может подделать запросы авторизации и получить доступ к облачным приложениям компаний.
Эксперты CyberArk описали новую технику атаки под названием Golden SAML, с помощью которой злоумышленник может подделать запросы авторизации и получить доступ к облачным приложениям компаний, использующих SAML-совместимые контроллеры доменов для аутентификации пользователей в облачных сервисах. Как отмечается, Golden SAML не является инструментом, позволяющим хакерам взломать защищенные системы организаций, это техника, которую атакующие могут использовать уже после компрометации компании.
Golden SAML представляет собой вариацию атаки Golden Ticket (также известна как Pass-the-Ticket), в 2014 году описанной создателем инструмента Mimikatz Бенджамином Делпи (Benjamin Delpy). Атака основана на компрометации серверов Kerberos и позволяет однажды получив высокие привилегии в домене впоследствии обращаться к нему с максимальным уровнем доступа от имени произвольной учетной записи — за счет использования недостатков архитектуры протокола Kerberos, при этом отслеживание действий атакующего крайне затруднительно.
Golden SAML базируется на использовании протокола SAML 2.0 (открытый XML стандарт обмена данными для осуществления аутентификации между поставщиком учетных записей и поставщиком сервиса). По стандарту SAML 2.0 обычный процесс аутентификации выглядит вот так
где: Identity Provider (IdP) – поставщик учетных записей, Client – пользователь, пытающийся получить доступ к приложению, Service Provider – облачное приложение.
В атаке Golden SAML клиент становится атакующим, а процесс аутентификации модифицируется следующим образом
По словам экспертов, атакующий, скомпрометировавший контроллер домена целевой компании, с помощью специальных инструментов (например, Mimikatz) может извлечь закрытый ключ IdP, используемый для подписи токенов авторизации, и от его имени получить доступ к облачным приложениям.
Для проведения атаки не обязательно находиться в сети целевой организации, ее можно осуществить откуда угодно. Даже если компания обнаружит попытку вмешательства и примет меры по обеспечению безопасности серверов, но не изменит закрытый ключ, злоумышленник все равно сможет получить доступ к облачным приложениям извне, используя золотые SAML-билеты. Более того, ввиду специфики работы протокола SAML атаки Golden SAML могут обходить двухфакторную аутентификацию, что позволяет злоумышленникам генерировать поддельные билеты для пользовательских учетных записей даже после смены пароля. Кроме того, атакующие могут использовать атаку Golden SAML для генерации токенов «с любыми привилегиями и действовать от имени любого пользователя, даже несуществующего».
Специалисты CyberArk разместили на GitHub инструмент, автоматизирующий процесс создания поддельных билетов для атак Golden SAML. Эксперты надеются, что компании будут использовать его для тестирования систем безопасности на предмет обнаружения атак Golden SAML.
Никаких овечек — только отборные научные факты