کمیته رکن چهارم – محققان آزمایشگاه CyberArk یک روش حملهی پس از نفوذ به نام Golden SAML یافتهاند که به مهاجم اجازه میدهد تا هویت کاربران شرکتی را جعل کند و سامانهی احراز هویت را فریب دهد تا به منابع ابری ارزشمند در یک محیط سازمانی دست یابد.
بنا به گفتهی آزمایشگاه CyberArk که این روش حمله را در این هفته منتشر کرد: «با استفاده از این روش پس از بهرهبرداری، مهاجمان میتوانند خود را به عنوان هر کاربری با بالاترین امتیازات جا بزنند و به دسترسی وابسته و تاییدشده به یک برنامهی هدف دست یابند.»
محققان گفتند که این روش حملهی Golden SAML در بسیاری از روشهای خود نحوهی عملکرد حملات Golden Ticket مشهور را تکرار میکند.
بنا به گفتهی آزمایشگاه CyberArk: «شباهت اسمی به خاطر این است که ذات حملات تقریباً مشابه است. Golden SAML مزایایی را برای یک فدراسیون معرفی میکند که Golden Ticket در یک محیط Kerberos از دستیابی به هر گونه دسترسی تا حفظ پایداری ارائه میدهد.»
Golden Ticket نوعی حمله علیه پروتکلهای احراز هویت زیرساختهای فنآوری اطلاعات است. همانند Pass-the-Hash، OverPass-the-Hash و Pass-the-Ticket، حملهی Golden Ticket به عنوان تهاجمیترین حمله در نظر گرفته میشود، زیرا از طریق دستکاری چارچوب احراز هویت Kerberos ویندوز سرور مهاجمی با دسترسی نامحدود و کنترل چشمانداز فنآوری اطلاعات فراهم میکند.
یک حملهی Golden SAML به جای هدف قرار دادن Kerberos ویندوز سرور، از پروتکل زبان نشانهگذاری تایید امنیت (SAML) استفاده میکند. SAML یک استاندارد باز برای تبادل دادهی احراز هویت و مجوز بین یک ارائهدهندهی هویت و یک ارائهدهندهی خدمات است.
محققان نوشتند: «روش حملهی Golden SAML خطرات جدی دارد زیرا به مهاجمان اجازه میدهد تا یک هویت را جعل کنند و احراز هویت را در هر برنامهی ابری (Azure، AWS، vSphere) که از احراز هویت SAML پشتیبانی میکند، فریب دهند. با استفاده از این روش پس از بهرهبرداری، مهاجمان میتوانند خود را به عنوان هر کاربری با بالاترین امتیازات جا بزنند و به دسترسی وابسته و تاییدشده به یک برنامهی هدف دست یابند.»
تاییدهای SAML قابل اطمینان هستند و با یک کلید اختصاصی RSA که در یک محیط ارائهدهندهی هویت ذخیره شده، امضاء میشوند.
پیشنیازهای چنین حملاتی قابل توجه هستند. مهاجمان به کلید خصوصی برای امضاء اشیاء SAML، یک حساب کاربری خدمات راهنمای فعال فدراسیون، کلید خصوصی نشانهگذاری توکن، و گواهینامهی عمومی ارائهدهندهی شناسه (IdP) و نام یک IdP نیاز خواهند داشت.
مهاجمان باید به مکانهایی که در آنجا برای دسترسی به منابع، مدیریت هویت صورت میگیرد، دسترسی داشته باشند. گاهی اوقات یک شخص ثالث مدیریت کلید SAML را انجام میدهد، و در بقیهی اوقات در یک دامنهی شرکتی میزبانی میشود.
محقق امنیتی آزمایشگاه CyberArk به نام Shaked Reiner گفت: «زمانی که یک مهاجم به این کلید دست مییابد، میتواند هر شیء احراز هویت SAML را که بخواهد ایجاد کند. آنها میتوانند تا زمانی که تایید SAML را با کلید سرقتی امضاء میکنند، در خدمات هدف هر کاربری با هر مجوزی در سامانه باشند.»
همانند محیطهای مبتنی بر Kerberos مایکروسافت که Golden Ticket را فعال میکند، رفع اشکال Golden SAML مسألهی بی اهمیتی نیست. محقق امنیتی ارشد آزمایشگاه CyberArk، به نام Doron Naim گفت: «هیچ کسی در این مورد سرزنش نمیشود، اما اگر شما از SAML استفاده میکنید، باید از این مسأله مطلع باشید. مایکروسافت این آسیبپذیری را در نظر نمیگیرد زیرا برای اجرای یک حملهی Golden SAML، مهاجم باید شبکهی یک شرکت را در معرض خطر قرار دهد و دسترسی مدیر دامنه را داشته باشد.»
محققان نوشتند: «ما میدانیم که اگر این حمله به درستی انجام شود، شناسایی آن در شبکه بسیار دشوار خواهد بود. ما نظارت بهتر و مدیریت دسترسی به حسابهای ADFS و در صورت امکان، امضاء کلید خصوصی به طور دورهای و به صورت خودکار را توصیه میکنیم، که کار مهاجمان را سختتر میکند.»
منبع : news.asis.io
