I ricercatori di Semperis Eric Woodruff e Tomer Nahum hanno scoperto Silver SAML, una nuova tecnica utilizzata per lanciare attacchi da un fornitore di identità contro le applicazioni configurate per utilizzarlo per l'autenticazione.
In cosa si differenzia da Golden SAML? Come possono le aziende rispondere a questa minaccia? Il ricercatore senior in materia di sicurezza Eric Woodruff condivide la sua visione in un'intervista con Information Security Media Group (ISMG).
"Con Silver SAML ci concentriamo sulle applicazioni business-critical. Molte aziende hanno applicazioni come Workday, Salesforce, AWS, Google Workspace e Cloud, tutte configurate per autenticarsi con Entra. Un aggressore potrebbe usare qualcosa come Silver SAML per accedere a queste applicazioni".
DAL SAML D'ORO AL SAML D'ARGENTO
TOM FIELD: In che modo gli attacchi Silver SAML sono diversi da quelli che conosciamo come Golden SAML?
ERIC WOODRUFF: Golden SAML e Silver SAML sono in realtà la stessa cosa, in quanto si tratta di attacchi di contraffazione SAML. Quando ci si autentica, la parte centrale del materiale è una risposta SAML, ed entrambi gli attacchi sono essenzialmente una contraffazione. La differenza sta nell'obiettivo che si vuole raggiungere.
FIELD: Gli attacchi Silver SAML possono accedere ad applicazioni critiche per l'azienda? E se sì, cosa potrebbe fare un attaccante?
In molti degli attacchi Golden SAML, l'obiettivo era di solito il passaggio da ADFS, che era Active Directory Federation Services di Microsoft, a qualcosa come Azure AD, che ora è noto come Entra ID. Con Silver SAML, il nostro obiettivo sono le applicazioni business-critical. Se siete un grande negozio Microsoft e state usando Entra ID, molte aziende hanno cose come Workday, Salesforce, AWS, Google Workspace e Cloud tutte configurate per autenticarsi con Entra. Un utente malintenzionato potrebbe utilizzare qualcosa come Silver SAML per accedere a questi servizi. Ciò che può fare dipende dall'utente che impersona.
CERTIFICATI GENERATI ESTERNAMENTE
FIELD: Cosa sbagliano i fornitori di identità e perché l'uso di certificati generati esternamente è un problema?
WOODRUFF : Non è che i fornitori di identità stiano facendo qualcosa di sbagliato; è più un problema di comportamento aziendale. Prima di lavorare a Semperis, durante il mio periodo in Microsoft, ho fatto consulenza e lavorato con le organizzazioni e ho visto che le persone non gestivano i certificati in modo sicuro. Non è solo un problema di SAML. Le persone non capiscono la gravità del modo in cui trattano questo materiale.
SFIDE DELLA GESTIONE DEI CERTIFICATI
FIELD: Perché non possiamo applicare le nostre direttive e politiche di gestione dei certificati più ampie allo sfruttamento dei certificati per la firma SAML?
WOODRUFF : Confrontare le diverse pratiche di gestione dei certificati è come confrontare le mele con le arance. Molte organizzazioni che desiderano utilizzare certificati generati dall'esterno hanno un modello che potremmo usare noi, in cui abbiamo una relazione uno-a-molti, in cui abbiamo molti clienti a cui vengono forniti certificati o servizi web in cui avete un certificato sul vostro server web. Quindi è necessario creare una relazione di fiducia tra tutti i client e il server web. Si parla quindi di SSL o TLS.
Con SAML, il modello di fiducia è diverso perché è uno-a-uno. Supponiamo di acquisire Salesforce. Quando configuriamo SAML, io, in qualità di amministratore o in collaborazione con l'unità aziendale che possiede Salesforce nella nostra organizzazione, configuro la relazione di fiducia SAML tra Salesforce ed Entra ID. In qualità di amministratore, sono l'ancora di fiducia. Se il certificato viene compromesso dal punto di vista dell'autenticazione, la revoca del certificato non comporta nulla.
Se passiamo a un modello di server web, se il certificato di un server web è compromesso, usiamo la revoca del certificato per dire a tutti i client: "Non fidatevi più di questo certificato". Con SAML, invece, se il certificato è compromesso, dobbiamo ruotarlo e seguire un altro processo manuale, nella maggior parte dei casi. Non c'è quindi alcun vantaggio nella revoca del certificato, perché questo interromperebbe l'autenticazione, ed è probabile che se sappiamo di essere compromessi, i nostri professionisti IT saranno comunque lì a ruotare il certificato. Il problema è la mancanza di comprensione del fatto che la revoca non apporta alcun vantaggio in questi casi.
PREVENZIONE DEGLI ATTACCHI SILVER SAML
FIELD: Cosa devono fare i difensori per evitare di essere vittime di attacchi SAML Silver?
Molte organizzazioni, sia quelle che si occupano di sicurezza, sia quelle che si occupano di IT, che gestiscono e utilizzano SAML, devono dare priorità all'apprendimento del funzionamento di SAML. Molte organizzazioni hanno centinaia e centinaia di applicazioni integrate con SAML, e ci si imbatte in scenari in cui gli aggressori capiscono come funziona il meccanismo di autenticazione meglio dei difensori. So che il tempo, le risorse e il denaro pesano sul motivo per cui non lo facciamo. Ma se le persone capissero davvero i fondamenti di SAML, della sua configurazione, della sua gestione e del motivo per cui lo fanno, capirebbero che la pratica più semplice per proteggersi da un attacco Silver SAML è quella di non utilizzare certificati generati dall'esterno.
Nell'ambito di Entra e Entra ID, se utilizziamo un certificato generato da Microsoft, è ancora forte. Non ha alcuna qualità negativa. Ma il materiale della chiave privata, che è ciò di cui un aggressore avrebbe bisogno, non può essere esportato da Entra. Si tratta quindi di una protezione molto semplice che si può realizzare semplicemente non utilizzando certificati generati esternamente. Ogni volta che lo dico, le persone reagiscono dicendo: "Ma se volete delle alternative?". Ci sono altre cose che si possono fare con la firma delle richieste SAML e che possono anche proteggere dagli attacchi di contraffazione SAML. Il nostro blog spiega in dettaglio cosa potete fare per proteggervi.
"Con Silver SAML ci concentriamo sulle applicazioni business-critical. Molte aziende hanno applicazioni come Workday, Salesforce, AWS, Google Workspace e Cloud, tutte configurate per autenticarsi con Entra. Un aggressore potrebbe usare qualcosa come Silver SAML per accedere a queste applicazioni".
L'APPROCCIO SEMPERIS
FIELD: Che cosa sta facendo Semperis per aiutare i suoi clienti a prepararsi e a rispondere alla minaccia Silver SAML?
Sia il nostro prodotto gratuito, Purple Knight, che il prodotto Directory Services Protector contengono indicatori di esposizione. Cercano le disconfigurazioni di sicurezza che vanno da avvertimenti a problemi critici su ciò che si sta facendo all'interno di Active Directory, o in questo caso Entra ID, che sta aprendo la porta agli aggressori. Abbiamo scritto un indicatore che aiuta le organizzazioni a cercare Silver SAML. È un po' una sfida, perché alcuni degli elementi di auditing che ci consentirebbero di essere davvero precisi nel tentativo di rilevare questo fenomeno non esistono in Entra ID. Ma stiamo cercando di collaborare con Microsoft per modificare le modalità di verifica e renderle più robuste, in modo da poter rilevare con precisione se le organizzazioni si sono predisposte per una potenziale compromissione.