Securitybedrijf CyberArk heeft een nieuwe aanval onthuld waarbij er van een "golden SAML" gebruik gemaakt wordt om toegang tot clouddiensten te krijgen die het SAML 2.0 protocol als inlogmechanisme gebruiken. De naam verwijst naar het "golden ticket" in Windows. Hiermee kan een aanvaller een gecompromitteerde domeincontroller die is opgeschoond weer opnieuw compromitteren en meteen domeinbeheerderrechten verkrijgen.
Bij een golden SAML-aanval kan een aanvaller toegang tot elke cloudapplicatie krijgen die SAML-authenticatie ondersteunt, zoals Azure en Amazon Web Services, met elke gewenste permissie en als elke willekeurige gebruiker. SAML staat voor Security Assertion Markup Language en is een standaard om authenticatie- en autorisatiegegevens tussen domeinen uit te wisselen. Er wordt hierbij gewerkt met een serviceprovider, identiteitsprovider en de gebruiker.
Als een gebruiker wil inloggen op een applicatie zoekt de serviceprovider de identiteitsprovider om de gebruiker te authenticeren. Vervolgens genereert de serviceprovider een SAML-authenticatieverzoek en stuurt dat naar de identiteitsprovider. De identiteitsprovider authenticeert de gebruiker en genereert een SAML-token en SAML-response object. Het SAML-response object wordt naar de serviceprovider gestuurd, die het verifieert. Is het response object geverifieerd, dan wordt de gebruiker door de serviceprovider ingelogd.
Om een golden SAML te creëren moet een aanvaller over de token-signing privésleutel beschikken. De privésleutel signeert het object dat de identiteit en permissies van de gebruiker bevat. Vervolgens kan de aanvaller het object vervalsen en zich als elke gebruiker voordoen om ongeautoriseerde toegang tot de applicatie te krijgen. Om de aanval uit te voeren moet een aanvaller naast de eerder genoemde privésleutel ook over de naam en het publieke certificaat van de identiteitsprovider en gewenste rolnaam beschikken. Om de privésleutel en verdere informatie te verkrijgen moet de aanvaller toegang tot het Active Directory Federation Services (AD FS) account hebben.
Cyberark stelt dat de golden SAML-aanval geen gebruik maakt van een kwetsbaarheid. Om de aanval uit te voeren moet een aanvaller domeinbeheerderstoegang hebben. "Daarom wordt het niet door de leveranciers in kwestie opgelost", aldus het securitybedrijf. Cyberark heeft een nieuwe tool genaamd "shimit" ontwikkeld en uitgebracht die de golden SAML-aanval implementeert.
Deze posting is gelocked. Reageren is niet meer mogelijk.