Semperis

Os investigadores de segurança da Semperis Eric Woodruff e Tomer Nahum descobriram o Silver SAML - uma nova técnica utilizada para lançar ataques a partir de um fornecedor de identidade contra aplicações configuradas para o utilizar para autenticação.

Em que é que difere do Golden SAML? Como é que as empresas podem responder a esta ameaça? O investigador de segurança sénior Eric Woodruff partilha a sua visão numa entrevista ao Information Security Media Group (ISMG).

"Com o Silver SAML, nosso foco são os aplicativos críticos para os negócios. Muitas empresas têm aplicações como o Workday, Salesforce, AWS, Google Workspace e Cloud, todas configuradas para autenticação no Entra. Um atacante poderia usar algo como o Silver SAML para entrar nesses aplicativos".

DO SAML DOURADO AO SAML PRATEADO

TOM FIELD: Em que é que os ataques Silver SAML são diferentes dos que conhecemos como Golden SAML?

ERIC WOODRUFF: O Golden SAML e o Silver SAML são realmente a mesma coisa, pois são ataques de falsificação de SAML. Quando se autentica, a peça central do material é uma resposta SAML, e ambos os ataques estão essencialmente a forjar isso. A diferença é o alvo que se pretende atingir.

FIELD: Os ataques Silver SAML podem aceder a aplicações críticas para o negócio? E se sim, o que um atacante poderia fazer?

WOODRUFF: Em muitos dos ataques Golden SAML, o alvo estava normalmente a sair do ADFS, que era o Active Diretory Federation Services da Microsoft, para algo como o Azure AD, que é agora conhecido como Entra ID. Com o Silver SAML, o nosso foco são as aplicações críticas para o negócio. Se é uma grande loja da Microsoft e está a utilizar o Entra ID, muitas empresas têm coisas como o Workday, Salesforce, AWS, Google Workspace e Cloud, todas configuradas para autenticar no Entra. Um atacante pode usar algo como o Silver SAML para se deslocar para esses sítios. O que pode fazer depende do utilizador que está a fazer-se passar por ele.

CERTIFICADOS GERADOS EXTERNAMENTE

FIELD: O que é que os fornecedores de identidade estão a fazer de errado e porque é que a utilização de certificados gerados externamente é um problema?

WOODRUFF: Não é que os fornecedores de identidade estejam a fazer algo de errado; é mais um problema de comportamento empresarial. Antes de trabalhar na Semperis, prestei consultoria e trabalhei com organizações durante o meu tempo na Microsoft, e vi que as pessoas não estavam a lidar com certificados de forma segura. Não se trata apenas de um problema de SAML. As pessoas não compreendem a gravidade da forma como tratam este material.

DESAFIOS DA GESTÃO DE CERTIFICADOS

FIELD: Porque não podemos aplicar as nossas diretivas e políticas de gestão de certificados mais abrangentes à utilização de certificados para assinatura SAML?

WOODRUFF: Comparar diferentes práticas de gestão de certificados é como comparar maçãs com laranjas. Muitas organizações que pretendem utilizar certificados gerados externamente têm um modelo que podemos utilizar, em que temos uma relação de um para muitos, em que temos muitos clientes a quem são fornecidos certificados ou serviços Web em que temos um certificado no nosso servidor Web. Depois, é necessário criar uma relação de confiança entre todos os clientes e esse servidor Web. Estamos a falar de SSL ou TLS.

Com SAML, o modelo de confiança é diferente porque é um para um. Digamos que adquirimos o Salesforce. Quando estamos configurando o SAML, eu, como administrador ou trabalhando com a unidade de negócios que possui o Salesforce em nossa organização, configuro a relação de confiança SAML entre o Salesforce e o Entra ID. Como administrador, sou a âncora de confiança. Se esse certificado for comprometido de uma perspetiva de autenticação, não há nada que a revogação do certificado nos traga.

Se formos para um modelo de servidor Web, se o certificado de um servidor Web estiver comprometido, utilizamos a revogação de certificados para dizer a todos os clientes: "Não confiem mais neste certificado". Mas com o SAML, se esse certificado for comprometido, temos de o rodar e passar por outro processo manual, na maioria dos casos. Por isso, não há qualquer vantagem na revogação de certificados, porque isso quebraria a autenticação, e é provável que, se soubermos que estamos comprometidos, os nossos profissionais de TI estejam lá a rodar o certificado de qualquer forma. O problema é a falta de compreensão de que a revogação não traz nada de útil nesses casos.

PREVENÇÃO DE ATAQUES DE SILVER SAML 

FIELD: O que é que os defensores devem fazer para evitarem ser vítimas de ataques Silver SAML?

WOODRUFF: Muitas organizações, quer o seu pessoal de segurança ou os seus profissionais de TI estejam a gerir e a utilizar o SAML, precisam de dar prioridade à aprendizagem do funcionamento do SAML. Muitas organizações têm centenas e centenas de aplicações integradas com SAML, e deparamo-nos com cenários em que os atacantes compreendem melhor o funcionamento do mecanismo de autenticação do que os defensores. Sei que o tempo, os recursos e o dinheiro são factores que influenciam o facto de não o fazermos. Mas se as pessoas compreendessem realmente os fundamentos do SAML, a sua configuração, a gestão e a razão pela qual estão a fazer o que estão a fazer, veriam que a prática mais fácil para se protegerem de um ataque SAML é não utilizarem certificados gerados externamente.

No domínio do Entra e do Entra ID, se utilizarmos um certificado gerado pela Microsoft, este continua a ser forte. Não tem quaisquer qualidades negativas. Mas o material da chave privada, que é o que um atacante precisaria, não pode ser exportado para fora da Entra. Trata-se, portanto, de uma proteção muito simples, que pode ser feita simplesmente não utilizando certificados gerados externamente. Sempre que digo isto, as pessoas recuam e dizem: "Mas e se quiser alternativas?" Há outras coisas que pode fazer com a assinatura de pedidos SAML que também o podem proteger contra ataques de falsificação SAML. O nosso blogue detalha o que pode fazer para se proteger.

"Com o Silver SAML, nosso foco são os aplicativos críticos para os negócios. Muitas empresas têm aplicações como o Workday, Salesforce, AWS, Google Workspace e Cloud, todas configuradas para autenticação no Entra. Um atacante poderia usar algo como o Silver SAML para entrar nesses aplicativos".

A ABORDAGEM SEMPERIS

FIELD: O que é que a Semperis está a fazer para ajudar os seus clientes a prepararem-se e a responderem à ameaça Silver SAML?

WOODRUFF: Tanto o nosso produto gratuito, Purple Knight, como o nosso produto Directory Services Protector contêm indicadores de exposição. Procuram configurações incorrectas de segurança que vão desde avisos a questões críticas sobre coisas que está a fazer no Active Diretory ou, neste caso, no Entra ID, que estão a abrir a porta aos atacantes. Escrevemos um indicador que está a ajudar as organizações a procurar o Silver SAML. É um pouco desafiador porque algumas das coisas de auditoria que nos permitiriam ser realmente precisos na tentativa de detetar isso não existem no Entra ID. Mas estamos a tentar trabalhar com a Microsoft para alterar a forma como auditam as coisas, de modo a torná-las mais robustas, para podermos detetar com precisão se as organizações se preparam para um potencial compromisso.