Yeni Silver SAML Saldırısı, Kimlik Sistemlerinde Golden SAML Savunmalarından Kaçıyor
Siber güvenlik araştırmacıları, Altın SAML saldırılarına karşı hafifletmelerin uygulandığı durumlarda bile başarılı olabilecek Silver SAML adlı yeni bir saldırı tekniğini açıkladı.
Semperis araştırmacıları Tomer Nahum ve Eric Woodruff, paylaşılan bir raporda, Silver SAML'nin "Salesforce gibi kimlik doğrulama için kullanmak üzere yapılandırılmış uygulamalara karşı Entra ID gibi bir kimlik sağlayıcıdan saldırılar başlatmak için SAML'den yararlanılmasını sağladığını" söyledi.
Golden SAML (Security Assertion Markup Language'ın kısaltması) ilk olarak 2017 yılında CyberArk tarafından belgelenmiştir. Saldırı vektörü, kısaca, bir kuruluştaki hemen hemen her kimliğin kimliğine bürünmek için birlikte çalışabilir kimlik doğrulama standardının kötüye kullanılmasını gerektirir.
Ayrıca, saldırganlara herhangi bir ayrıcalığa sahip bir federasyondaki herhangi bir hizmete yetkisiz erişim elde etme ve bu ortamda gizli bir şekilde kalıcı kalma yeteneği vermesi bakımından Altın Bilet saldırısına benzer.
Güvenlik araştırmacısı Shaked Reiner, "Golden SAML, bir federasyona, Golden Ticket'ın Kerberos ortamında sunduğu avantajları sunuyor - her türlü erişim elde etmekten gizlice kalıcılığı sürdürmeye kadar" dedi.
Yöntemden yararlanan gerçek dünya saldırıları nadirdir, kaydedilen ilk kullanım, güvenliği ihlal edilmiş SAML belirteç imzalama sertifikalarını kullanarak SAML belirteçlerini taklit ederek yönetim erişimi elde etmek için SolarWinds altyapısının güvenliğinin ihlal edilmesidir.
Microsoft'un geçen yılın sonlarında yaptığı açıklamaya göre, Golden SAML, Mart 2023'te isimsiz bir hedefin bulut kaynaklarına herhangi bir parola gerektirmeden erişmek için Peach Sandstorm kod adlı İranlı bir tehdit aktörü tarafından da silahlandırıldı.
En son yaklaşım, Microsoft Entra ID (eski adıyla Azure Active Directory) gibi bir kimlik sağlayıcısıyla (IdP) çalışan ve Active Directory Federasyon Hizmetleri'ne (AD FS) erişim gerektirmeyen Golden SAML'de bir sürümdür. Kuruluşlar için orta şiddette bir tehdit olarak değerlendirilmiştir.
Araştırmacılar, "Entra ID içinde Microsoft, SAML yanıt imzalama için kendinden imzalı bir sertifika sağlıyor" dedi. "Alternatif olarak, kuruluşlar Okta'dakiler gibi harici olarak oluşturulmuş bir sertifika kullanmayı seçebilirler. Ancak bu seçenek bir güvenlik riski oluşturuyor."
"Harici olarak oluşturulan bir sertifikanın özel anahtarını ele geçiren herhangi bir saldırgan, istediği herhangi bir SAML yanıtını taklit edebilir ve bu yanıtı Entra ID'nin sahip olduğu aynı özel anahtarla imzalayabilir. Bu tür sahte SAML yanıtlarıyla, saldırgan daha sonra herhangi bir kullanıcı gibi uygulamaya erişebilir."
2 Ocak 2024'te Microsoft'a sorumlu bir şekilde açıklama yapılmasının ardından şirket, sorunun acil servis çıtasını karşılamadığını, ancak müşterileri korumak için gerektiğinde uygun önlemleri alacağını kaydetti.
Silver SAML'nin yaygın olarak kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, kuruluşların SAML imzalama amacıyla yalnızca Entra ID otomatik olarak imzalanan sertifikaları kullanmaları gerekir. Semperis ayrıca özel SAML yanıtları oluşturmak için SilverSAMLForger adlı bir kavram kanıtı (PoC) kullanıma sundu.
Araştırmacılar, "Kuruluşlar, ApplicationManagement altında PreferredTokenSigningKeyThumbprint'te yapılan değişiklikler için Entra ID denetim günlüklerini izleyebilir" dedi.
"Bu olayları, hizmet sorumlusuyla ilgili hizmet sorumlusu kimlik bilgisi olaylarını eklemek için ilişkilendirmeniz gerekir. Süresi dolan sertifikaların döndürülmesi yaygın bir işlemdir, bu nedenle denetim olaylarının meşru olup olmadığını belirlemeniz gerekir. Rotasyonu belgelemek için değişiklik kontrol süreçlerini uygulamak, rotasyon olayları sırasında karışıklığı en aza indirmeye yardımcı olabilir."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı