پژوهشگران در آزمایشگاههای سایبر آرک تکنیکی برای حمله پس از رخنه یافته اند که آنرا SAML طلایی نامیده اند که به مهاجم این امکان را می دهد که هویت های کاربران شرکتی را جعل کند و به منابع ارزشمند ابری در محیط های سازمانی دسترسی پیدا کند.
طبق گفته آزمایشگاه سایبر آرک " با استفاده از این تکنیک، مهاجمین می توانند به هر
پسیو شبکه کاربری که می خواهند تبدیل شوند – با بالاترین سطح امتیازات- و دسترسی مجاز و سازمانی به یک برنامه ی مورد هدف را بدست آورند."
پژوهشگران گفته اند که تکنیک حمله ی پس از رخنه SAML طلایی نشان می دهد که حملات مشهور بلیط طلایی چگونه انجام می شوند.
طبق گفته سایبر آرک "این تشابه اسمی با غرض ایجاد شده است، چرا که طبیعت این دو حمله با یکدیگر مشابه است. SAML طلایی به یک سازمان مزایایی مشابه بلیط طلایی در
محیط کربرس را وعده می دهد –از قبیل ارائه همه گونه دسترسی و حفظ تداوم پنهانی".
بلیط طلایی حمله ای بر ضد پروتکل های احراز هویت زیرساخت های
پسیو شبکه فناوری اطلاعات است. در مقایسه با Pass-The-Hash، Overpass-the-Hash و Pass-the-Tick ، حمله بلیط طلایی تهاجمی ترین آنها به شمار می رود،
زیرا مهاجمی با دسترسی و کنترل نامحدود به چشم انداز IT از طریق دستکاری چارچوب احراز هویت ویندوز سرور کربرس را ارائه می دهد.
به جای هدف گرفتن ویندوز سرور کربرس، حمله ی SAML طلایی پروتکل SAML (Security Markup Language 2.0) را بکار می گیرد. SAML یک استاندارد باز برای تبادل احراز هویت و اطلاعات مجوز بین ارائه کننده هویت و یک ارائه دهنده خدمات است.
طق نظر پژوهشگران" SAML طلایی خطری جدی ایجاد می کند، چراکه به مهاجم این امکان را می دهد که هویتی را جعل کرده و احراز هویت را در هر برنامه ی کلاودی (آژور، AWS، vSphere، و غیره) که
از احراز هویت SAML پشتیبانی می کند را جعل کند. با استفاده از این تکنیکِ
خدمات شبکه پس از بهره برداری، مهاجمین می توانند هویت هر شخصی را مایلند جعل کنند – با بالاترین سطح امتیازات- و دسترسی مجاز و سرتاسری به App مورد نظر."
تاییدهای SAML قابل اطمینان هستند و با یک کلید اختصاصی RSA که در یک محیط ارائهدهنده هویت ذخیره شده، امضاء میشوند.
با این وجود، پیش نیازهای چنین حملاتی قابل ذکر هستند. در کل، هکرها به کلیدی خصوصی نیازمندند که تمام موارد SAML را امضا کنند، و همچنین یک حساب کاربری ADFS، کلید خصوصی نشانهگذاری توکن ، یک شناسه عمومی (IdP) و یک نام IdP نیز احتیاج دارند.
مهاجمان همچنین باید به جایی که در آن برای دسترسی به منابع مدیریت هویت انجام می شود دسترسی پیدا کنند. گاهی اوقات یک شخص ثالث کلید SAML را مدیریت می کند و
در مواردی در خود دامنه ی یک شرکت انجام می شود.
Shaked Reiner ، پژوهشگر امنیتی آزمایشگاه سایبرآرک در مصاحبه ایی با Threatpost گفت: “زمانیکه مهاجم به این کلید دسترسی پیدا می کند، می توانند هر نوع احراز هویت SAML را که مایلند ایجاد کنند.
زمانی که آنها تایید SAML را با کلید سرقتی امضا کنند، می توانند تبدیل به هر کاربری در سرویس مورد هدف با هر سطح از دسترسی بر روی سیستم شوند."
مشابه محیط های مبتنی بر کربرسِ مایکروسافت
پسیو شبکه که بلیط طلایی را فعال می کنند، ایجاد راه حل برای SAML طلایی بی اهمیت نیست. دورون نایم ، محقق ارشد امنیتی در آزمایشگاه سایبرآرک می گوید: "
کسی را نمی توان سرزنش کرد، اما اگر در حال استفاده از SAML هستید، از این مشکل آگاه باشید."
نایم معتقد است: مایکروسافت این را نقطه ضعف نمی داند، زیرا برای اجرای یک حمله SAML طلایی یک دشمن باید شبکه یک شرکت را به خطر اندازد و دسترسی مدیر دامنه داشته باشد.
پژوهشگران می گویند: " در مورد مدافعان، ما می دانیم که اگر این حمله به درستی انجام شود، شناسایی در
خدمات شبکه شما بسیار دشوار خواهد بود. توصیه ی ما مانیتورینگ بهتر و مدیریت دسترسی ADFS قوی تری است،
و چنانچه ممکن است، امضای کلید خصوصی به طور دورهای و به صورت خودکار، که کار را برای مهاجمان مشکل تر می سازد."