Los investigadores de seguridad de Semperis Eric Woodruff y Tomer Nahum descubrieron Silver SAML, una nueva técnica utilizada para lanzar ataques desde un proveedor de identidad contra aplicaciones configuradas para utilizarlo para la autenticación.
¿En qué se diferencia de Golden SAML? ¿Cómo pueden responder las empresas a esta amenaza? Eric Woodruff, investigador principal de seguridad, comparte su opinión en una entrevista con Information Security Media Group (ISMG).
"Con Silver SAML, nos centramos en las aplicaciones críticas para la empresa. Muchas empresas tienen aplicaciones como Workday, Salesforce, AWS, Google Workspace y Cloud configuradas para autenticarse con Entra. Un atacante podría usar algo como Silver SAML para entrar en ellas".
DEL SAML DE ORO AL SAML DE PLATA
TOM FIELD : ¿En qué se diferencian los ataques Silver SAML de lo que conocemos como Golden SAML?
ERIC WOODRUFF : Golden SAML y Silver SAML son realmente lo mismo en el sentido de que son ataques de falsificación de SAML. Cuando se autentica, la pieza central del material es una respuesta SAML, y ambos ataques están esencialmente falsificando eso. La diferencia es el objetivo que se persigue.
FIELD : ¿Pueden los ataques Silver SAML acceder a aplicaciones críticas para la empresa? Y en caso afirmativo, ¿qué podría hacer un atacante?
WOODRUFF: En muchos de los ataques SAML dorados, el objetivo se movía normalmente de ADFS, que era Active Directory Federation Services de Microsoft, a algo como Azure AD, que ahora se conoce como Entra ID. Con Silver SAML, nuestro objetivo son las aplicaciones críticas para el negocio. Si eres una gran tienda de Microsoft y estás usando Entra ID, muchas empresas tienen cosas como Workday, Salesforce, AWS, Google Workspace y Cloud configuradas para autenticarse contra Entra. Un atacante podría utilizar algo como Silver SAML para entrar en ellos. Lo que puedan hacer allí depende del usuario que estén suplantando.
CERTIFICADOS GENERADOS EXTERNAMENTE
FIELD: ¿Qué están haciendo mal los proveedores de identidad y por qué es un problema utilizar certificados generados externamente?
WOODRUFF: No es que los proveedores de identidad estén haciendo algo mal; es más bien un problema de comportamiento empresarial. Antes de trabajar en Semperis, estuve asesorando y trabajando con organizaciones durante mi etapa en Microsoft, y vi que la gente no manejaba los certificados de forma segura. No es sólo un problema de SAML. La gente no entiende la gravedad de cómo tratan este material.
RETOS DE LA GESTIÓN DE CERTIFICADOS
FIELD: ¿Por qué no podemos aplicar nuestras directivas y políticas de gestión de certificados más amplias al aprovechamiento de certificados para la firma SAML?
WOODRUFF: Comparar diferentes prácticas de gestión de certificados es como comparar manzanas con naranjas. Muchas organizaciones que quieren utilizar certificados generados externamente tienen un modelo que nosotros podríamos utilizar en el que tenemos una relación de uno a muchos, en la que tenemos muchos clientes a los que se les proporcionan certificados o servicios web en los que tienes un certificado en tu servidor web. Entonces necesitas crear una relación de confianza entre todos tus clientes y ese servidor web. Estamos hablando de SSL o TLS.
Con SAML, el modelo de confianza es diferente porque es uno a uno. Supongamos que adquirimos Salesforce. Cuando configuramos SAML, yo, como administrador o trabajando con la unidad de negocio propietaria de Salesforce en nuestra organización, configuro la relación de confianza SAML entre Salesforce y Entra ID. Como administrador, soy el ancla de confianza. Si ese certificado se ve comprometido desde una perspectiva de autenticación, la revocación del certificado no nos aporta nada.
Si pasamos a un modelo de servidor web, si el certificado de un servidor web se ve comprometido, utilizamos la revocación de certificados para decir a todos los clientes: "No confíes más en este certificado". Pero con SAML, si ese certificado se ve comprometido, tenemos que rotarlo y pasar por otro proceso manual, en la mayoría de los casos. Así que la revocación del certificado no tiene ninguna ventaja, porque rompería la autenticación, y lo más probable es que, si sabemos que estamos en peligro, nuestros profesionales de TI vayan a rotar el certificado de todos modos. El problema es la falta de comprensión de que la revocación no aporta nada en estos casos.
PREVENIR LOS ATAQUES DE SILVER SAML
FIELD: ¿Qué deben hacer los defensores para evitar ser víctimas de los ataques Silver SAML?
WOODRUFF : Muchas organizaciones, ya sean sus responsables de seguridad o sus profesionales de TI los que gestionan y utilizan SAML, deben dar prioridad a aprender cómo funciona SAML. Muchas organizaciones tienen cientos y cientos de aplicaciones integradas con SAML, y te encuentras con escenarios en los que los atacantes entienden cómo funciona el mecanismo de autenticación mejor que los defensores. Sé que el tiempo, los recursos y el dinero son factores que influyen en que no lo hagamos. Pero si la gente entendiera realmente los fundamentos de SAML y su configuración y la gestión y por qué hacen lo que hacen, verían que la práctica más sencilla para protegerse de un ataque SAML Silver es no utilizar certificados generados externamente.
En el ámbito de Entra y Entra ID, si utilizamos un certificado generado por Microsoft, sigue siendo sólido. No tiene ninguna cualidad negativa. Pero el material de la clave privada, que es lo que un atacante necesitaría, no puede ser exportado fuera de Entra. Así que es una protección muy simple que puedes hacer simplemente no usando certificados generados externamente. Siempre que digo esto, la gente me contesta: "Pero, ¿y si quieres alternativas?". Hay otras cosas que puedes hacer con la firma de solicitudes SAML que también pueden protegerte contra ataques de falsificación de SAML. Nuestro blog detalla lo que puede hacer para protegerse.
"Con Silver SAML, nos centramos en las aplicaciones críticas para la empresa. Muchas empresas tienen aplicaciones como Workday, Salesforce, AWS, Google Workspace y Cloud configuradas para autenticarse con Entra. Un atacante podría usar algo como Silver SAML para entrar en ellas".
EL ENFOQUE SEMPERIS
FIELD: ¿Qué está haciendo Semperis para ayudar a sus clientes a prepararse y responder a la amenaza SAML Plata?
WOODRUFF: Tanto nuestro producto gratuito, Purple Knight, como nuestro producto Directory Services Protector contienen indicadores de exposición. Buscan desconfiguraciones de seguridad que van desde advertencias a problemas críticos sobre cosas que estás haciendo dentro de Active Directory, o en este caso Entra ID, que están abriendo la puerta a los atacantes. Hemos escrito un indicador que está ayudando a las organizaciones a buscar Silver SAML. Es un pequeño desafío porque algunas de las cosas de auditoría que nos permitirían ser realmente precisos al tratar de detectar esto no existen en Entra ID. Pero estamos tratando de trabajar con Microsoft para cambiar la forma en que auditan las cosas para que sea más robusto para que podamos tener precisión en la detección si las orgs se preparan para un compromiso potencial.
