资安业者CyberArkLabs在上周展示了名为Golden SAML的攻击技术,它类似著名的Golden Ticket攻击,都是针对认证协议展开攻击,且皆属于先入侵企业网络之后的「后攻击」(Post-Exploitation)行为,可以冒充任何使用者的身分以于企业应用中畅行无阻。
Golden Ticket所攻击的是Kerberos计算机网络认证协议,Golden SAML则是攻击SAML 2.0认证数据交换协议,特别是身分供货商与服务供货商之间的认证数据交换,最常见也最重要的应用为基于网络浏览器的单一签入( single sign-on,SSO)。
SAML协议的运作方式(下图,来源:CyberArkLabs)是使用者先向服务供货商(SP)发送登入请求,服务供货商再透过使用者传送SMAL请求(SAMLRequest)予身分供货商(IdP),IdP同样藉由使用者传递响应(SAMLResponse)予SP,SP在检查SAMLResponse之后便可允许使用者登入。
在上述的流程中,研究人员所开采的是SAMLResponse,设想若持有储存用户身分及权限之对象的签名密钥,就能伪造认证物件,冒充任何使用者以非法存取SP;SAMLResponse对象内含用户名称、权限集及有效期等。
CyberArk Labs指出,Golden SAML攻击的好处在于它几乎可以在任何环境中产生,可突破双因素认证的封锁线,所取得的私钥不会自动更新,就算变更了用户密码也不会影响该SAML。
不过,执行Golden SAML攻击的条件包括必须取得令牌签名私钥、IdP公开凭证、IdP名称及角色名称,再加上网域及用户名称、网络服务的角色期间名称,以及网络服务的账号名称等。
CyberArk Labs强调,Golden SAML攻击并非仰赖SAML 2.0或是任何IdP服务的漏洞,但它让黑客能够取得未经授权的存取能力,允许黑客蛰伏于企业环境中且拥有任何权限。
此外,假设黑客成功执行了Golden SAML攻击,将很难被侦测到,CyberArk Labs建议企业应妥善监控及管理Active Directory FederationServices(AD FS)或其他IdP服务的账号,可能的话最好定期自动更新签名私钥,以提高攻击门坎。
更多文章请往;LHF利豪发电子游戏
1766
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
