SolarWinds siber saldırısı, saldırganların Orion BT yönetimi ve izleme yazılımına kötü amaçlı kod dağıtmak amacıyla Amerika Birleşik Devletleri hükümeti de dahil olmak üzere tüm dünyadaki binlerce kuruluşu etkilemek için ihlal sonrası istismarda Golden SAML saldırısını kullandığı yüzyılın en büyük saldırılarından biriydi.
Büyük siber saldırının ardından CISA, hibrit ortam kuruluşlarına Entra ID gibi bir bulut kimlik sistemine geçmelerini önerdi.
Ancak Silver SAML adı verilen ve güvenlik önerilerini atlayıp uygulamaları kullanarak Entra ID'den yararlanabilen yeni bir teknik keşfedildi.
Bu güvenlik açığı, tehlikeye atılan sisteme bağlı olarak kuruluşlar için ORTA düzeyde risk olarak derecelendirilmiş olsa da, bu Gümüş SAML kimlik doğrulaması, CİDDİ risk oluşturan iş açısından kritik uygulamalara yetkisiz erişim elde etmek için kullanılabilir.
Gümüş SAML Saldırısı
Cyber Security News ile paylaşılan raporlara göre Entra ID, uygulamalarda kimlik doğrulama için SAML kullanan birçok kuruluş tarafından kullanılıyor.
Ancak bu Entra ID, SAML yanıt imzalama için kendinden imzalı bir sertifika kullanır. Ayrıca kuruluşlar, SAML'yi imzalamak için harici olarak oluşturulan sertifikaları da kullanabilir.
Altın SAML kimlik doğrulaması, Active Directory Federasyon Hizmetleri'nden imza sertifikaları alması ve bunları SAML kimlik doğrulama yanıtlarını oluşturmak için kullanmasıyla tanınır.
Silver SAML saldırısı, Microsoft Entra ID'deki ADFS'yi kullanmaz.
Bir saldırganın harici olarak oluşturulan bir sertifikanın özel anahtarını ele geçirdiğini varsayalım. Bu durumda saldırgan istediği gibi SAML yanıtını taklit edebilir ve yanıtı Entra ID'nin tuttuğu özel anahtarla imzalayabilir.
Bu saldırı başarılı olursa saldırgan herhangi bir kullanıcı olarak uygulamaya erişim sağlayabilir.
SAML'nin Arkasındaki Sorun ve Sertifikaların İmzalanması
SAML ve imzalama sertifikalarıyla ilgili temel sorun, çoğu kuruluşun imzalama sertifikalarını doğru şekilde yönetmemesidir.
Ayrıca harici olarak imzalanmış sertifikalar kullanıldığından SAML güvenliği zayıflar.
Buna ek olarak, harici olarak imzalanan bu sertifikalar, sertifika PFX dosyalarının ve şifrelerinin Teams veya Slack gibi güvenli olmayan kanallar kullanılarak gönderilmesi için de kullanılır.
Azure Key Vault kullanan kuruluşlar için bile, kendinden imzalı sertifikaların depolanacağı güvenli bir yere de sızılabilir ve anahtarlar çıkarılabilir.
Bunun dışında kuruluşlar, SAML imzalama sertifikalarını Entra ID kullanmak yerine dışarıdan da yönetiyorlar.
Gümüş SAML Saldırısı Gerçekleştirme
Saldırıyı Hizmet Tarafından Sağlanan bir akışta başlatmak için, bir tehdit aktörünün SAML isteğine müdahale etmesi ve SAML yanıtının içeriğini, Burp Suite gibi bir müdahale proxy'si kullanılarak yapılabilecek sahte bir SAML yanıtıyla değiştirmesi gerekir.
Bu saldırının bir örneği araştırmacılar tarafından yapılan test akışıyla gösterildi. Bir kullanıcının SAML yanıtı [email protected] yakalandı.
Kullanım için, UPN (Kullanıcı Asıl Adı), soyadı, adı, displayName ve objectID gibi bazı SAML talep bilgilerinin toplanması gerekir; bu, Entra yönetim merkezi veya Microsoft Graph API kullanılarak yapılabilir.
Araştırmacıların oluşturduğu “SilverSAMLForger” aracı ile gerekli parametreler base64 ve URL kodlu çıktı dizisi olarak üretiliyor.
Bu sahte SAML yanıtı daha sonra ele geçirilen yanıttaki SAML yanıtını değiştirmek için kullanılabilir ve böylece uygulamanın hedeflenen kullanıcı olarak oturum açması sağlanır.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan