Altın Saml saldırısı, şifre tabanlı hacklerin her ay milyonlarca hesabı ihlal ettiği bir dünyada daha az bilinen ama çok daha tehlikeli bir tehdittir.
Yaygın şifre spreyleri veya kimlik avı girişimlerinin aksine, Golden Saml saldırıları nadirdir, Microsoft Haziran 2025 itibariyle son 24 ay içinde ondan az benzersiz müşteride sadece 20 olay bildirmektedir.
Bununla birlikte, etkileri felakettir, güvenlik iddiası işaretleme dili (SAML) kimlik doğrulamasının güven mekanizmalarından yararlanarak bir kuruluş içindeki her hesabı potansiyel olarak tehlikeye atar.
.png
)
Bu gelişmiş saldırı, Active Directory Federated Hizmetleri (AD FS) gibi federasyon sunucularının özel anahtarını hedefler ve saldırganların otantik görünümlü jetonlar oluşturmasına ve bir sistem içindeki herhangi bir kullanıcıyı taklit etmesine izin verir, güvenlik kontrollerini gizli ve hassasiyetle etkili bir şekilde atlar.
Saldırı Mekaniği
Altın bir SAML saldırısının merkezinde, SAML’nin güven modelinin temelini olan Halk Anahtarı Şifreleme’nin (PKC) kötüye kullanımı yatıyor.
2005 İnternet standardı olan SAML, uygulamalar gibi güvenen taraflardan (RPS) Microsoft Entra Kimliği veya Şirket içi Federasyon sunucuları gibi kimlik sağlayıcılarına (IDP’ler) doğrulama yaparak tek oturum açma (SSO) sağlar.
Bu sunucular, otantikliği kanıtlamak için özel bir anahtarla jetonlar imzalarken, ilgili genel anahtar doğrulama için yaygın olarak dağıtılır.
Saldırganlar, bir federasyon sunucusunun idari kontrolünü genellikle sofistike ihlaller yoluyla kazanırlarsa, bu özel anahtarı çalabilirler.
Bununla birlikte, RPS için meşru görünen SAML jetonları oluştururlar ve bulut ve şirket içi ortamlarda kaynaklara sınırsız erişim sağlarlar. Bu, bir krallıktaki her kapı için izlenemez bir ana anahtar oluşturmaya benzer.
2017 yılında Cyberark tarafından adlandırılan Golden Saml, Kerberos Golden bilet saldırısını yansıtıyor, ancak erişimi bugünün bulut merkezli dünyasında daha da uzanıyor ve Azure ve AWS gibi platformları etkiliyor.
Bu saldırıyı özellikle tehlikeli kılan şey görünmezliğidir; Güvenlik açığından yararlanmadığından, ortaklık sonrası meşru mekanizmaları kötüye kullandığından, tespit zordur ve saldırganlar yüksek ayrıcalıklarla tespit edilmeyebilir.
Sessiz tehdide karşı savunmak
Altın SAML saldırılarına karşı en etkili savunma, savunmasız imzalama anahtarlarını yönetme riskini ortadan kaldıran Microsoft Entra ID gibi bulut tabanlı kimlik çözümlerine geçerek şirket içi federasyon sunucularına güvenmeyi en aza indirmektir.
Hemen geçiş yapamayan kuruluşlar için sağlam güvenlik önlemleri kritiktir.
Özel anahtarları korumak, en son Windows Server sürümlerini (Windows Server 2025 gibi) çalıştırmak ve katı ağ izolasyonu ve tam zamanında yönetici erişimi ile sıfır güven ilkelerini uygulamak için donanım güvenlik modüllerini (HSMS) kullanmak önemli adımlardır.
Ek olarak, Microsoft Entra ID koruması ve kimlik savunmacı gibi araçlar, Gold SAML aktivitesini gösteren anomalileri tespit ederken, güven heyetini sınırlayan ve bulut idps aracılığıyla çok faktörlü kimlik doğrulamayı (MFA) uygulama politikaları hasarı azaltabilir.
Hibrit kurulumlarda, şirket içi altyapıdan bulut ortamlarının izole edilmesi, bir ihlalin basamaklı olmasını önlemek için hayati önem taşır.
Nadir olsa da, Golden Saml saldırısı proaktif savunma ihtiyacının altını çiziyor, çünkü tek bir başarılı sömürü bir kuruluşun tüm güvenlik dokusunu çözebilir, bu da günümüz tehdit manzarasında hazırlık ve uyanıklığı pazarlık edilemez hale getirebilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin