Kimlik & Erişim Yönetimi, Güvenlik Operasyonları
‘Altın SAML’den Kaçınmak İçin AFDS’den Geçiş Her Şeye Çare Değildi
Prajeet Nair (@prajeetspeaks), David Perera (@daveperera) •
29 Şubat 2024
Rusya’nın 2020’de SolarWinds’e yönelik istihbarat saldırısının beklenmedik bir yan etkisi oldu: Şirketler, şirket içi tek oturum açma altyapısını bulut tabanlı bir alternatifle değiştirmek için acele etti.
Bunu yaptılar çünkü SolarWinds tedarik zinciri hack’i Moskova korsanlarına kurban ağlarına erişim sağladıktan sonra, Active Directory Federasyon Hizmetleri sunucularından sertifikaları çaldılar ve parola kırmaya gerek kalmadan Outlook gibi hizmetlerde oturum açmalarına olanak sağladılar. olarak bilinen bir saldırıyı kullandılar. Golden SAML, saldırının hizmet sağlayıcıların kullanıcıların kimliğini doğrulamak için kullandığı Güvenlik Onayı Biçimlendirme Dili mesajlarını manipüle etmesinden kaynaklanmaktadır.
Çoğu kullanıcı gibi, Rus bilgisayar korsanları da tek oturum açmanın avantajını gördü: kolaylık ve birden fazla parola zahmetine girmeden birçok hizmete erişim. Ne yazık ki sistem yöneticileri için pazarlığın diğer tarafı (azaltılmış saldırı yüzeyi) geçerli değildi. Bu nedenle, tek oturum açma kimlik doğrulamasını yönetmenin yeni, bulutta yerel bir yolunu bulmak için ADFS’yi terk etme telaşı var: Artık Entra ID olarak bilinen Microsoft Azure AD.
Ancak saldırganların Entra ID ortamında Golden SAML’ye benzer bir saldırıyı nasıl gerçekleştirebileceğini ayrıntılarıyla anlatan Sempris’ten araştırmacılar, hikayenin burada bitmediğini söylüyor. Araştırmacılar yeni saldırıyı (şu ana kadar sadece teorik olarak) “Altın SAML’nin Çocuğu” olarak adlandırabilirdi, ancak Semperis “Gümüş SAML”i tercih etti.
Sempris araştırmacısı Eric Woodruff, Information Security Media Group’a şöyle konuştu: “SolarWinds vurduğunda ve serpinti meydana geldiğinde, yüksek düzeyde mesaj şuydu: ‘Entra’ya geçerseniz, Altın SaML asla gerçekleşemez’.” “Fakat kötü alışkanlıklara sahip bu organizasyonlar yine de kendilerini bir şekilde ayarlayabilirler. [Silver] SAML saldırısı.”
Silver SAML, Entra ID tek oturum açma ortamlarında yaygın olarak görülen bir güvenlik açığından yararlanır. Normal koşullar altında bir kullanıcı, Saleforce veya Workday gibi bir hizmet sağlayıcıda oturum açar ve Entra ID’ye bir SAML isteği gönderir ve bu da Entra ID’nin kullanıcının kimliğini doğrulamasını ister. Bu işlem tamamlandıktan sonra Entra ID, servis sağlayıcıya bir SAML yanıtı gönderir ve kullanıcı erişim kazanır.
SilverSAML saldırısıyla bir saldırgan, sahte SAML yanıtları oluşturmak için SAML yanıtını imzalamak için kullanılan özel anahtarı kaydırabilir. En kötü senaryoda saldırgan, hizmetin önce Entra ID ile iletişime geçmesine gerek kalmadan bir hizmet sağlayıcıda oturum açmak için özel anahtarı kullanabilir.
Özel anahtarlar savunmasızdır çünkü birçok kuruluş, dışarıdaki bir taraftan sertifika almanın en iyi uygulama olduğunu düşünmektedir. Bu, pek çok firmanın sertifikaları işleme şeklinin (örneğin, sertifikaların sunucuda “sertifikalar” etiketli bir klasörde tutulması gibi) yardımcı olmadığı özel anahtar yönetimi sorunlarını tetikler.
Woodruff, “Bu davranış, masaüstümde ‘şifreler’ yazan bir klasör bulunmasına çok benziyor” dedi.
Semperis, kuruluşun Silver SAML saldırılarını tek oturum açma için yalnızca Entra ID kendinden imzalı sertifikalar kullanarak önlemesini öneriyor. Üçüncü taraf sertifikaların aksine, “Microsoft kısayolu kullanabilir çünkü yığının tamamına sahiptir. Onu gitmesi gereken yere ekleyebilir, ancak sizin onu elinizde bulundurmanıza gerek yoktur, bu da büyük bir farktır. “
Şirket ayrıca kimlik doğrulama için OAuth 2.0 çerçevesini temel alan bir kimlik doğrulama protokolü olan OpenID Connect’e geçmenin de mümkün olduğunu söylüyor.
Alternatif olarak Woodruff, hizmet geliştiricilerinin imzalı kimlik doğrulama isteklerinin imzasını doğrulayarak SAML isteklerine ek bir güvenlik katmanı ekleyebileceğini söyledi; bu teknik, Microsoft’un “SAML İsteği İmza Doğrulaması” olarak adlandırdığı bir tekniktir.
Woodruff’a göre bazı ödünleşimler var; bu, tek oturum açma kolaylığını sınırlayabilir. Ancak asıl sınırlamanın, çoğu hizmet sağlayıcının imza doğrulamayı uygulamamış olması olduğunu söyledi. “Birçok uygulamada bu bir seçenek bile değil.”
Semperis araştırmacıları, imzalı SAML yanıtlarının sahtesini yapmak için kullanılabilecek “SilverSAMLForger” adlı bir kavram kanıtlama aracı geliştirdi.