Die Sicherheitsforscher von Semperis, einem Anbieter auf dem Gebiet identitätsgesteuerter Cyber-Resilienz, hat eine neue Variante der berüchtigten Golden SAML-Angriffstechnik, der das Team den Namen „Silver SAML“ gegeben hat, entdeckt.
Mit Silver SAML können Bedrohungsakteure das Authentifizierungsprotokoll SAML (Security Assertion Markup Language) missbrauchen, um von einem Identitätsanbieter wie Entra ID aus Angriffe auf Anwendungen zu starten, die SAML für die Authentifizierung nutzen, wie beispielsweise Salesforce.
Golden SAML wurde bei dem Cyberangriff auf Solarwinds im Jahr 2020 verwendet, dem bislang raffiniertesten nationalstaatlichen Hack der Geschichte. Die Hackergruppe Nobelium, auch bekannt als Midnight Blizzard oder Cozy Bear, hat bösartigen Code in die IT-Management-Software Orion von Solarwinds eingeschleust und damit Tausende von Unternehmen, darunter auch die US-Regierung, infiziert. Nach diesem Angriff empfahl die Cybersecurity Infrastructure Security Agency (CISA) Organisationen mit hybriden Identitätsumgebungen, die SAML-Authentifizierung auf ein Cloud-Identitätssystem wie Entra ID umzustellen.
Schutz vor Silver SAML-Angriffen
Um sich effektiv gegen Silver SAML-Angriffe in Entra ID zu schützen, sollten Organisationen nur selbstsignierte Entra ID-Zertifikate für die SAML-Signierung verwenden. Organisationen sollten auch die Eigentumsrechte an Anwendungen in Entra ID einschränken. Außerdem sollten sie auf Änderungen an SAML-Signierschlüsseln achten, vor allem, wenn der Schlüssel nicht demnächst abläuft.
„Nach dem Cyberangriff auf Solarwinds erklärten Microsoft und andere, darunter auch die CISA, dass die Umstellung auf Entra ID (damals Azure AD) vor der Fälschung von SAML-Antworten, auch bekannt als Golden SAML, schützen würde. Leider ist der vollständige Schutz vor dieser Art von Angriffen differenzierter – wenn Unternehmen bestimmte Praktiken der Zertifikatsverwaltung von Active Directory Federation Services auf Entra ID übertragen, sind die Anwendungen in ihrem Bestand immer noch anfällig für SAML-Antwortfälschungen, die wir als Silver SAML bezeichnen“, so Eric Woodruff, Forscher bei Semperis.
Die Semperis-Forscher stufen die Silver SAML-Schwachstelle als ein mäßiges Risiko für Unternehmen ein. Sollte Silver SAML jedoch dazu verwendet werden, sich unbefugten Zugang zu geschäftskritischen Anwendungen und Systemen zu verschaffen, könnte das Risiko je nach dem angegriffenen System auf ein schweres Niveau ansteigen.
Weitere Informationen zur Silver SAML-Schwachstelle bietet Semperis in einem aktuellen Blogartikel.
www.semperis.com