Semperis

Die Semperis-Sicherheitsforscher Eric Woodruff und Tomer Nahum haben Silver SAML entdeckt - eine neue Technik, mit der von einem Identitätsanbieter aus Angriffe auf Anwendungen gestartet werden können, die so konfiguriert sind, dass sie SAML zur Authentifizierung nutzen.

Wie unterscheidet sie sich von Golden SAML? Wie können Unternehmen auf die Bedrohung reagieren? Der leitende Sicherheitsforscher Eric Woodruff teilt seine Erkenntnisse in einem Interview mit der Information Security Media Group (ISMG).

"Bei Silver SAML liegt unser Schwerpunkt auf geschäftskritischen Anwendungen. Viele Unternehmen haben Anwendungen wie Workday, Salesforce, AWS, Google Workspace und Cloud so konfiguriert, dass sie sich gegenüber Entra authentifizieren. Ein Angreifer könnte etwas wie Silver SAML nutzen, um in diese Anwendungen einzudringen."

VOM GOLDENEN SAML ZUM SILBERNEN SAML

TOM FIELD: Wie unterscheiden sich die Silver SAML-Angriffe von dem, was wir als Golden SAML kennen?

ERIC WOODRUFF: Golden SAML und Silver SAML sind insofern dasselbe, als es sich um SAML-Fälschungsangriffe handelt. Bei der Authentifizierung ist das Kernstück des Materials eine SAML-Antwort, und beide Angriffe fälschen diese im Wesentlichen. Der Unterschied ist das Ziel, auf das Sie es abgesehen haben.

FIELD: Können Silver SAML-Angriffe auf geschäftskritische Anwendungen zugreifen? Und wenn ja, was könnte ein Angreifer möglicherweise tun?

WOODRUFF: Bei vielen der Golden SAML-Angriffe ging es in der Regel darum, von ADFS, den Active Directory Federation Services von Microsoft, zu etwas wie Azure AD überzugehen, das jetzt als Entra ID bekannt ist. Bei Silver SAML liegt unser Schwerpunkt auf geschäftskritischen Anwendungen. Wenn Sie ein großes Microsoft-Unternehmen sind und Entra ID verwenden, haben viele Unternehmen Anwendungen wie Workday, Salesforce, AWS, Google Workspace und Cloud so konfiguriert, dass sie sich gegenüber Entra authentifizieren. Ein Angreifer könnte so etwas wie Silver SAML verwenden, um in diese Bereiche einzudringen. Was er dort tun kann, hängt von dem Benutzer ab, für den er sich ausgibt.

EXTERN GENERIERTE ZERTIFIKATE

FIELD: Was machen Identitätsanbieter falsch, und warum ist die Verwendung von extern generierten Zertifikaten ein Problem?

WOODRUFF: Es ist nicht so, dass die Identitätsanbieter etwas falsch machen; es ist eher ein Problem des Geschäftsverhaltens. Bevor ich zu Semperis kam, habe ich während meiner Zeit bei Microsoft Unternehmen beraten und mit ihnen zusammengearbeitet, und ich habe gesehen, dass die Leute nicht sicher mit Zertifikaten umgehen. Es ist nicht nur ein SAML-Problem. Die Leute verstehen nicht, wie schwerwiegend es ist, wie sie mit diesem Material umgehen.

HERAUSFORDERUNGEN BEI DER VERWALTUNG VON ZERTIFIKATEN

FIELD: Warum können wir unsere umfassenderen Richtlinien für die Zertifikatsverwaltung nicht auf die Nutzung von Zertifikaten für die SAML-Signierung anwenden?

WOODRUFF: Der Vergleich verschiedener Praktiken der Zertifikatsverwaltung ist wie der Vergleich von Äpfeln mit Birnen. Viele Organisationen, die extern generierte Zertifikate verwenden möchten, haben ein Modell, das wir vielleicht verwenden, bei dem wir eine Eins-zu-Viele-Beziehung haben, bei dem wir viele Kunden haben, denen Zertifikate zur Verfügung gestellt werden, oder Webdienste, bei denen Sie ein Zertifikat auf Ihrem Webserver haben. Dann müssen Sie eine Vertrauensbeziehung zwischen all Ihren Clients und diesem Webserver herstellen. Wir sprechen hier also von SSL oder TLS.

Bei SAML ist das Vertrauensmodell anders, weil es eins-zu-eins ist. Nehmen wir an, wir erwerben Salesforce. Wenn wir SAML konfigurieren, konfiguriere ich als Administrator oder in Zusammenarbeit mit der Geschäftseinheit, der Salesforce in unserer Organisation gehört, die SAML-Vertrauensbeziehung zwischen Salesforce und Entra ID. Als Administrator bin ich der Vertrauensanker. Wenn das Zertifikat aus Sicht der Authentifizierung kompromittiert wird, bringt uns der Widerruf des Zertifikats nichts.

Wenn wir zu einem Webserver-Modell übergehen und das Zertifikat für einen Webserver kompromittiert wird, verwenden wir den Zertifikatswiderruf, um allen Clients mitzuteilen: "Vertraut diesem Zertifikat nicht mehr." Aber bei SAML müssen wir, wenn das Zertifikat kompromittiert ist, es in den meisten Fällen erneuern und einen weiteren manuellen Prozess durchlaufen. Der Widerruf eines Zertifikats bringt also keinen Vorteil, denn das würde die Authentifizierung unterbrechen. Und wenn wir wissen, dass wir kompromittiert sind, werden unsere IT-Experten das Zertifikat wahrscheinlich ohnehin erneuern. Das Problem ist das fehlende Verständnis dafür, dass ein Widerruf in diesen Fällen nicht wirklich etwas bringt.

VORBEUGUNG VON SILVER-SAML-ANGRIFFEN 

FIELD: Was sollten Verteidiger tun, um nicht Opfer von Silver SAML-Angriffen zu werden?

WOODRUFF: Viele Unternehmen, egal ob ihre Sicherheitsbeauftragten oder ihre IT-Profis SAML verwalten und nutzen, müssen vorrangig lernen, wie SAML funktioniert. In vielen Unternehmen sind Hunderte von Anwendungen in SAML integriert, und man stößt auf Szenarien, in denen die Angreifer besser verstehen, wie der Authentifizierungsmechanismus funktioniert als die Verteidiger. Ich weiß, dass Zeit, Ressourcen und Geld eine Rolle dabei spielen, warum wir das nicht tun. Aber wenn die Leute wirklich die Grundlagen von SAML und dessen Konfiguration und Verwaltung verstehen würden und wüssten, warum sie tun, was sie tun, würden sie erkennen, dass die einfachste Methode, sich vor einem SAML-Angriff zu schützen, darin besteht, keine extern generierten Zertifikate zu verwenden.

Wenn wir im Bereich von Entra und Entra ID ein von Microsoft generiertes Zertifikat verwenden, ist es immer noch stark. Es weist keine negativen Eigenschaften auf. Aber das Material des privaten Schlüssels, das ein Angreifer benötigen würde, kann nicht aus Entra heraus exportiert werden. Es handelt sich also um einen sehr einfachen Schutz, den Sie erreichen können, indem Sie einfach keine extern generierten Zertifikate verwenden. Immer, wenn ich das sage, sagen die Leute: "Aber was ist, wenn Sie Alternativen wollen?" Es gibt noch andere Möglichkeiten, SAML-Anfragen zu signieren, die Sie ebenfalls vor SAML-Fälschungsangriffen schützen können. In unserem Blog erfahren Sie, was Sie tun können, um sich zu schützen.

"Bei Silver SAML liegt unser Schwerpunkt auf geschäftskritischen Anwendungen. Viele Unternehmen haben Anwendungen wie Workday, Salesforce, AWS, Google Workspace und Cloud so konfiguriert, dass sie sich gegenüber Entra authentifizieren. Ein Angreifer könnte etwas wie Silver SAML nutzen, um in diese Anwendungen einzudringen."

DER SEMPERIS-ANSATZ

FIELD: Was unternimmt Semperis, um seinen Kunden zu helfen, sich auf die Silver SAML-Bedrohung vorzubereiten und auf sie zu reagieren?

WOODRUFF: Sowohl unser kostenloses Produkt, Purple Knight, als auch unser Produkt Directory Services Protector enthalten Indikatoren für die Gefährdung. Sie suchen nach Sicherheitsfehlkonfigurationen, die von Warnungen bis hin zu kritischen Problemen mit Dingen reichen, die Sie innerhalb von Active Directory oder in diesem Fall Entra ID tun und die Angreifern die Tür öffnen. Wir haben einen Indikator geschrieben, der Organisationen bei der Suche nach Silver SAML hilft. Es ist eine kleine Herausforderung, denn einige der Auditing-Möglichkeiten, die es uns erlauben würden, dies wirklich genau zu erkennen, gibt es in Entra ID nicht. Aber wir versuchen, mit Microsoft zusammenzuarbeiten, um die Art und Weise der Prüfung zu ändern und sie robuster zu machen, so dass wir genau erkennen können, ob sich Organisationen für eine mögliche Kompromittierung vorbereitet haben.