
Siber güvenlik uzmanları, altın SAML saldırıları, kurumsal kimlik altyapısını hedefleyen en tehlikeli ama gizli tekniklerden biri olarak ortaya çıktıkça sofistike bir tehditle karşı karşıya.
Bu saldırılar, tehdit manzarasında önemli bir artışı temsil ederek kötü niyetli aktörlerin, Federasyon sunucuları tarafından güvenlik iddiası işaretleme dili (SAML) belirteçlerini imzalamak için kullanılan özel anahtarlardan ödün vererek kimlik doğrulama jetonlarını oluşturmasına izin verir.
Bireysel hesapları etkileyen geleneksel şifre tabanlı saldırıların aksine, başarılı bir altın SAML saldırısı, bir kuruluşun kimlik ekosistemindeki her hesabı potansiyel olarak tehlikeye atabilir.
Saldırı, adını ilk olarak Benjamin Delpy tarafından Black Hat USA 2014’te tanımlanan kötü şöhretli Kerberos Altın Bilet saldırısı tekniğinden alıyor.
Cyberark araştırmacıları, Kasım 2017’de “Altın Saml” terimini ortaya koydu ve bu iki saldırı metodolojisi arasındaki paralelliği kabul etti.
Altın SAML saldırıları, ortak şifre spreyi veya kimlik avı girişimlerine kıyasla nispeten nadir olmakla birlikte, başarıyla yürütüldüğünde etkileri yıkıcı olabilir.
Teknik, birden fazla uygulamanın kimlik doğrulama yetkisini merkezi bir kimlik sağlayıcıya devrettiği modern tek oturum açma (SSO) sistemlerini destekleyen temel güven ilişkilerinden yararlanmaktadır.
Microsoft analistleri ve araştırmacıları, son 24 ay içinde ondan az benzersiz müşteriyi etkileyen yaklaşık 20 altın SAML saldırısı tespit etmiş ve algılama sistemleri dünyada yaklaşık 50 etkilenen kullanıcıyı tanımlamaktadır.
Düşük frekanslarına rağmen, bu saldırılar örgütsel güvenlik için varoluşsal bir tehdit oluşturmaktadır, çünkü saldırganlara güven sınırı içindeki herhangi bir SAML özellikli uygulamaya kalıcı, tespit edilemez erişim sağlayabilirler.
Saldırı tekniği özellikle sinsidir, çünkü yazılım güvenlik açıklarından yararlanmaya dayanmaz, daha ziyade federasyonlu kimlik doğrulama sistemlerini güvence altına alan meşru şifreleme mekanizmalarından yararlanır.
Saldırı vektörü, özellikle şirket içi kimlik altyapısı ve bulut uygulamaları arasında köprü görevi gören Federasyon sunucularının, özellikle Active Directory Federasyon Hizmetleri (AD FS) dağıtımlarının uzlaşmasına odaklanmaktadır.
Kuruluşlar, bu hibrit yapılandırmaları, mevcut şirket içi Active Directory yatırımlarını korumak için kullanırken, Microsoft 365, AWS ve diğer hizmet olarak yazılım uygulamaları gibi bulut hizmetlerine erişimi sağlar.
Bu mimari desen, bir Federasyon sunucusunun uzlaşmasının tüm kimlik güven zincirinde ilerleyebileceği kritik bir tek başarısızlık noktası oluşturur.
Teknik Saldırı Mekanizması ve Token Sahteciliği Süreci
Altın SAML saldırısı, SAML kimlik doğrulamasının altında yatan ortak anahtar şifreleme ilkelerinden yararlanan sofistike bir süreçte ortaya çıkıyor.
.gif)
Saldırganlar bir federasyon sunucusuna idari erişim elde ettikten sonra, SAML jetonlarını dijital olarak imzalamak için kullanılan özel imza anahtarını çıkarırlar.
Bu süreç tipik olarak, kimlik hırsızlığı, ayrıcalık artış veya sunucu güvenlik açıklarının kullanılması gibi teknikler yoluyla Federasyon Sunucusunun önceden ödün verilmesini gerektirir.
Çalınan özel anahtar elimde, saldırganlar herhangi bir kullanıcı kimliği için SAML jetonlarını oluşturabilir ve keyfi iddialar ve ayrıcalıklar yerleştirebilir.
Dövme jetonları, parti uygulamalarına güvenerek kriptografik doğrulamayı geçen geçerli dijital imzaları içerir ve onları meşru jetonlardan ayırt edilemez hale getirir.
Bu özellik, saldırganların geleneksel kimlik doğrulama mekanizmalarını veya çok faktörlü kimlik doğrulama zorluklarını tetiklemeden etki alanı yöneticileri veya hizmet hesapları gibi yüksek ayrı hesaplar da dahil olmak üzere herhangi bir kullanıcıyı taklit etmesine olanak tanır.
Saldırının gizli özellikleri, meşru kullanıcı davranışını yansıtan otantik görünümlü kimlik doğrulama istekleri oluşturma yeteneğinden kaynaklanmaktadır.
Sonunda sona eren çalınan jetonların aksine, imzalama anahtarlarına erişimi olan saldırganlar süresiz olarak taze jetonlar üretebilir ve tehlikeye atılan anahtarlar döndürülene kadar kalıcı erişimi sürdürebilir.
Bu kalıcılık mekanizması, kriptografik token doğrulaması yerine anormal kullanıcı davranışlarına odaklanan güvenlik izleme sistemleri tarafından tespit ederken, kurumsal ortamlara uzun vadeli erişimi korumak için altın SAML saldırılarını özellikle tehlikeli hale getirir.
Herhangi biriyle erken tehdit tespiti, yükseltme ve hafifletme güçlendirin. 50 deneme araması alın.