Les chercheurs en sécurité de Semperis Eric Woodruff et Tomer Nahum ont découvert Silver SAML - une nouvelle technique utilisée pour lancer des attaques à partir d'un fournisseur d'identité contre des applications configurées pour l'utiliser pour l'authentification.
En quoi diffère-t-il de Golden SAML ? Comment les entreprises peuvent-elles répondre à la menace ? Eric Woodruff, chercheur principal en sécurité, fait part de ses réflexions dans un entretien avec Information Security Media Group (ISMG).
"Avec Silver SAML, nous nous concentrons sur les applications critiques. Beaucoup d'entreprises ont des applications telles que Workday, Salesforce, AWS, Google Workspace et Cloud, toutes configurées pour s'authentifier auprès d'Entra. Un pirate pourrait utiliser quelque chose comme Silver SAML pour s'introduire dans ces applications".
DE LA SAML D'OR À LA SAML D'ARGENT
TOM FIELD : En quoi les attaques Silver SAML sont-elles différentes de ce que nous appelons Golden SAML ?
ERIC WOODRUFF : Golden SAML et Silver SAML sont en fait identiques en ce sens qu'il s'agit d'attaques de falsification SAML. Lorsque vous vous authentifiez, la pièce maîtresse est une réponse SAML, et les deux attaques consistent essentiellement à falsifier cette réponse. La différence réside dans la cible visée.
FIELD : Les attaques Silver SAML peuvent-elles accéder à des applications critiques pour l'entreprise ? Et si c'est le cas, que pourrait faire un attaquant ?
WOODRUFF : Dans un grand nombre d'attaques Golden SAML, la cible passait généralement d'ADFS, les services de fédération Active Directory de Microsoft, à quelque chose comme Azure AD, qui est maintenant connu sous le nom d'Entra ID. Avec Silver SAML, nous nous concentrons sur les applications critiques. Si vous êtes une grande entreprise Microsoft et que vous utilisez Entra ID, beaucoup d'entreprises ont des applications telles que Workday, Salesforce, AWS, Google Workspace et Cloud, toutes configurées pour s'authentifier auprès d'Entra. Un pirate pourrait utiliser quelque chose comme Silver SAML pour s'introduire dans ces systèmes. Ce qu'il peut y faire dépend de l'utilisateur dont il se fait passer pour lui.
LES CERTIFICATS GÉNÉRÉS EN EXTERNE
FIELD : Quelles sont les erreurs commises par les fournisseurs d'identité et pourquoi l'utilisation de certificats générés en externe pose-t-elle problème ?
WOODRUFF : Ce n'est pas que les fournisseurs d'identité fassent quelque chose de mal ; il s'agit plutôt d'un problème de comportement des entreprises. Avant de travailler chez Semperis, j'étais consultant et je travaillais avec des organisations lorsque j'étais chez Microsoft, et j'ai vu que les gens ne géraient pas les certificats de manière sécurisée. Ce n'est pas seulement un problème de SAML. Les gens ne comprennent pas la gravité de la façon dont ils traitent ce matériel.
LES DÉFIS DE LA GESTION DES CERTIFICATS
FIELD : Pourquoi ne pouvons-nous pas appliquer nos directives et politiques générales de gestion des certificats à l'utilisation des certificats pour la signature SAML ?
WOODRUFF : Comparer les différentes pratiques de gestion des certificats revient à comparer des pommes et des oranges. De nombreuses organisations qui souhaitent utiliser des certificats générés en externe ont un modèle que nous pourrions utiliser dans le cadre d'une relation un-à-plusieurs, où nous avons de nombreux clients à qui l'on fournit des certificats, ou des services web où vous avez un certificat sur votre serveur web. Vous devez alors créer une relation de confiance entre tous vos clients et ce serveur web. Nous parlons donc de SSL ou de TLS.
Avec SAML, le modèle de confiance est différent car il est univoque. Supposons que nous fassions l'acquisition de Salesforce. Lorsque nous configurons SAML, en tant qu'administrateur ou en collaboration avec l'unité d'affaires qui possède Salesforce dans notre organisation, je configure la relation de confiance SAML entre Salesforce et Entra ID. En tant qu'administrateur, je suis l'ancre de confiance. Si ce certificat est compromis du point de vue de l'authentification, la révocation du certificat ne nous apporte rien.
Si nous passons à un modèle de serveur web, si le certificat d'un serveur web est compromis, nous utilisons la révocation de certificat pour dire à tous les clients : "Ne faites plus confiance à ce certificat". Mais avec SAML, si ce certificat est compromis, nous devons le remplacer et passer par un autre processus manuel, dans la plupart des cas. Il n'y a donc aucun avantage à révoquer le certificat, car cela briserait l'authentification, et il est probable que si nous savons que nous sommes compromis, nos professionnels de l'informatique seront de toute façon en train de faire pivoter le certificat. Le problème est un manque de compréhension du fait que la révocation n'apporte rien à la table dans ces cas.
PRÉVENIR LES ATTAQUES DE SILVER SAML
FIELD : Que doivent faire les défenseurs pour éviter d'être victimes des attaques Silver SAML ?
WOODRUFF : De nombreuses organisations, que ce soit leurs responsables de la sécurité ou leurs informaticiens qui gèrent et utilisent SAML, doivent donner la priorité à l'apprentissage du fonctionnement de SAML. Beaucoup d'organisations ont des centaines et des centaines d'applications intégrées avec SAML, et vous rencontrez des scénarios où les attaquants comprennent mieux le fonctionnement du mécanisme d'authentification que les défenseurs. Je sais que le temps, les ressources et l'argent sont autant d'éléments qui expliquent pourquoi nous ne le faisons pas. Mais si les gens comprenaient vraiment les principes fondamentaux de SAML, de sa configuration, de sa gestion et de la raison pour laquelle ils font ce qu'ils font, ils verraient que la pratique la plus simple pour se protéger d'une attaque Silver SAML est de ne pas utiliser de certificats générés en externe.
Dans le domaine d'Entra et d'Entra ID, si nous utilisons un certificat généré par Microsoft, il reste solide. Il n'a aucune qualité négative. Mais la clé privée, dont un pirate aurait besoin, ne peut pas être exportée hors d'Entra. Il s'agit donc d'une protection très simple que vous pouvez mettre en place en n'utilisant pas de certificats générés à l'extérieur. Chaque fois que je dis cela, les gens réagissent en disant : "Et si vous voulez des alternatives ?" Il y a d'autres choses que vous pouvez faire avec la signature des requêtes SAML qui peuvent également vous protéger contre les attaques de falsification SAML. Notre blog détaille ce que vous pouvez faire pour vous protéger.
"Avec Silver SAML, nous nous concentrons sur les applications critiques. Beaucoup d'entreprises ont des applications telles que Workday, Salesforce, AWS, Google Workspace et Cloud, toutes configurées pour s'authentifier auprès d'Entra. Un pirate pourrait utiliser quelque chose comme Silver SAML pour s'introduire dans ces applications".
L'APPROCHE SEMPERIS
FIELD : Que fait Semperis pour aider ses clients à se préparer et à répondre à la menace Silver SAML ?
WOODRUFF : Notre produit gratuit, Purple Knight, et notre produit Directory Services Protector contiennent tous deux des indicateurs d'exposition. Ils recherchent les mauvaises configurations de sécurité qui vont des avertissements aux problèmes critiques concernant les choses que vous faites dans Active Directory, ou dans ce cas Entra ID, et qui ouvrent la porte aux attaquants. Nous avons rédigé un indicateur qui aide les organisations à rechercher Silver SAML. C'est un peu un défi parce que certains des éléments d'audit qui nous permettraient d'être vraiment précis dans la détection n'existent pas dans Entra ID. Mais nous essayons de travailler avec Microsoft pour changer la façon dont ils auditent les choses afin de les rendre plus robustes pour que nous puissions détecter avec précision si les organisations se préparent à une compromission potentielle.