CyberArk поделился инструментом, автоматизирующий процесс создания поддельных билетов для атак Golden SAML

Эксперты CyberArk описали новую технику атаки под названием Golden SAML, с помощью которой злоумышленник может подделать запросы авторизации и получить доступ к облачным приложениям компаний, использующих SAML-совместимые контроллеры доменов для аутентификации пользователей в облачных сервисах. Как отмечается, Golden SAML не является инструментом, позволяющим хакерам взломать защищенные системы организаций, это техника, которую атакующие могут использовать уже после компрометации компании.

По словам экспертов, атакующий, скомпрометировавший контроллер домена целевой компании, с помощью специальных инструментов (например, Mimikatz) может извлечь закрытый ключ IdP, используемый для подписи токенов авторизации, и от его имени получить доступ к облачным приложениям.
 

Для проведения атаки не обязательно находиться в сети целевой организации, ее можно осуществить откуда угодно. Даже если компания обнаружит попытку вмешательства и примет меры по обеспечению безопасности серверов, но не изменит закрытый ключ, злоумышленник все равно сможет получить доступ к облачным приложениям извне, используя золотые SAML-билеты. Более того, ввиду специфики работы протокола SAML атаки Golden SAML могут обходить двухфакторную аутентификацию, что позволяет злоумышленникам генерировать поддельные билеты для пользовательских учетных записей даже после смены пароля. Кроме того, атакующие могут использовать атаку Golden SAML для генерации токенов «с любыми привилегиями и действовать от имени любого пользователя, даже несуществующего».
 

Специалисты CyberArk разместили на GitHub инструмент, автоматизирующий процесс создания поддельных билетов для атак Golden SAML. Эксперты надеются, что компании будут использовать его для тестирования систем безопасности на предмет обнаружения атак Golden SAML.

Подробней здесь >