حمله‌ی پس از نفوذ SAML حمله‌ی Golden Ticket را تکرار می‌کند

محققان آزمایشگاه CyberArk یک روش حمله‌ی پس از نفوذ به نام Golden SAML یافته‌اند که به مهاجم اجازه می‌دهد تا هویت کاربران شرکتی را جعل کند و  سامانه‌ی احراز هویت را فریب دهد تا به منابع ابری ارزشمند در یک محیط سازمانی دست یابد.

 

بنا به گفته‌ی آزمایشگاه CyberArk که این روش حمله را در این هفته منتشر کرد: «با استفاده از این روش پس از بهره‌برداری، مهاجمان می‌توانند خود را به عنوان هر کاربری با بالاترین امتیازات جا بزنند و به دسترسی وابسته و تاییدشده به یک برنامه‌ی هدف دست یابند.»

محققان گفتند که این روش حمله‌ی Golden SAML در بسیاری از روش‌های خود نحوه‌ی عملکرد حملات Golden Ticket مشهور را تکرار می‌کند.

بنا به گفته‌ی آزمایشگاه CyberArk: «شباهت اسمی به خاطر این است که ذات حملات تقریباً مشابه است. Golden SAML مزایایی را برای یک فدراسیون معرفی می‌کند که Golden Ticket در یک محیط Kerberos از دستیابی به هر گونه دسترسی تا حفظ پایداری ارائه می‌دهد.»

 

Golden Ticket نوعی حمله علیه پروتکل‌های احراز هویت زیرساخت‌های فن‌آوری اطلاعات است. همانند Pass-the-Hash، OverPass-the-Hash و Pass-the-Ticket، حمله‌ی Golden Ticket به عنوان تهاجمی‌ترین حمله در نظر گرفته می‌شود، زیرا از طریق دستکاری چارچوب احراز هویت Kerberos ویندوز سرور مهاجمی با دسترسی نامحدود و کنترل چشم‌انداز فن‌آوری اطلاعات فراهم می‌کند.

 

یک حمله‌ی Golden SAML به جای هدف قرار دادن Kerberos ویندوز سرور، از پروتکل زبان نشانه‌گذاری تایید امنیت (SAML) استفاده می‌کند. SAML یک استاندارد باز برای تبادل داده‌ی احراز هویت و مجوز بین یک ارائه‌دهنده‌ی هویت و یک ارائه‌دهنده‌ی خدمات است.

 

محققان نوشتند: «روش حمله‌ی Golden SAML خطرات جدی دارد زیرا به مهاجمان اجازه می‌دهد تا یک هویت را جعل کنند و احراز هویت را در هر برنامه‌ی ابری (Azure، AWS، vSphere) که از احراز هویت SAML پشتیبانی می‌کند، فریب دهند. با استفاده از این روش پس از بهره‌برداری، مهاجمان می‌توانند خود را به عنوان هر کاربری با بالاترین امتیازات جا بزنند و به دسترسی وابسته و تاییدشده به یک برنامه‌ی هدف دست یابند.»

 

تاییدهای SAML قابل اطمینان هستند و با یک کلید اختصاصی RSA که در یک محیط ارائه‌دهنده‌ی هویت ذخیره شده، امضاء می‌شوند.

 

پیش‌نیازهای چنین حملاتی قابل توجه هستند. مهاجمان به کلید خصوصی برای امضاء اشیاء SAML، یک حساب کاربری خدمات راهنمای فعال فدراسیون، کلید خصوصی نشانه‌گذاری توکن، و گواهی‌نامه‌ی عمومی ارائه‌دهنده‌ی شناسه (IdP) و نام یک IdP نیاز خواهند داشت.

مهاجمان باید به مکان‌هایی که در آن‌جا برای دسترسی به منابع، مدیریت هویت صورت می‌گیرد، دسترسی داشته باشند. گاهی اوقات یک شخص ثالث مدیریت کلید SAML را انجام می‌دهد، و در بقیه‌ی اوقات در یک دامنه‌ی شرکتی میزبانی می‌شود.

 

محقق امنیتی آزمایشگاه CyberArk به نام Shaked Reiner گفت: «زمانی که یک مهاجم به این کلید دست می‌یابد، می‌تواند هر شیء احراز هویت SAML را که بخواهد ایجاد کند. آن‌ها می‌توانند تا زمانی که تایید SAML را با کلید سرقتی امضاء می‌کنند، در خدمات هدف هر کاربری با هر مجوزی در سامانه باشند.»

 

همانند محیط‌های مبتنی بر Kerberos مایکروسافت که Golden Ticket را فعال می‌کند، رفع اشکال Golden SAML مسأله‌ی بی اهمیتی نیست. محقق امنیتی ارشد  آزمایشگاه CyberArk، به نام Doron Naim گفت: «هیچ کسی در این مورد سرزنش نمی‌شود، اما اگر شما از SAML استفاده می‌کنید، باید از این مسأله مطلع باشید. مایکروسافت این آسیب‌پذیری را در نظر نمی‌گیرد زیرا برای اجرای یک حمله‌ی Golden SAML، مهاجم باید شبکه‌ی یک شرکت را در معرض خطر قرار دهد و دسترسی مدیر دامنه را داشته باشد.»

 

محققان نوشتند: «ما می‌دانیم که اگر این حمله به درستی انجام شود، شناسایی آن در شبکه بسیار دشوار خواهد بود. ما نظارت بهتر و مدیریت دسترسی به حساب‌های ADFS و در صورت امکان، امضاء کلید خصوصی به طور دوره‌ای و به صورت خودکار را توصیه می‌کنیم، که کار مهاجمان را سخت‌تر می‌کند.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید