CyberArk 实验室安全专家设计了一种新的入侵技术“Golden SAML”,黑客可以利用该技术创建虚假的 SAML 身份验证对象,从而窃取宝贵的云资源。
SAML,全称Security Assertion Markup Language,是Security Assertion Markup Language。它是身份验证和授权数据交换给身份提供者和服务提供者的开放标准。
该技术允许攻击者在联合环境中访问有价值的云应用程序资源,以创建虚假的公司身份并伪造身份验证。
攻击者可以使用 Golden
SAML 技术 使用任何所需权限访问任何支持 SAML 身份验证应用程序,如 Azure、AWS、vSphere。SAML
协议中的每个句子都是存储在用户环境中的特定 RSA 密钥信任和签名, Golden SAML 的必要条件包括 Active
联合账户、令牌签名私钥、IdP 公共证书,IdP 名称,角色名称,域/用户名,AWS 角色会话名和 Amazon 账户 ID。因此,这种技术在实际场景中并不容易实现。
类似的攻击
Golden SAM 和另一个名字“Golden Ticket”入侵技术非常相似。
Golden Ticket 允许攻击者操纵 Windows Server Kerberos 身份验证框架完全控制 IT 基础结构;
Golden SAML 攻击使用 SAML2.0 协议。
缓解 Golden SAML 并非易事
CyberArk 表示攻击者可以从任何地方开始Golden
SAML 攻击不仅限于企业网络。即使企业检测到攻击者的入侵并妥善保护服务器,攻击者仍然可以在不修改令牌签名私钥的情况下使用Golden Token
SAML Ticket 从外部网络访问企业的云应用。此外,金
SAML 攻击绕过双重身份验证,允许攻击者在用户更改密码后为用户账户签发假票。
一旦攻击者使用适当的方法进行此类攻击,防御者就很难发现。如果你想减少 Golden SAML
攻击的影响也很困难,因为它既不依赖 SAML 2.0 漏洞,也不通过 AWS / ADFS
由于攻击者主要通过访问域管理员通过访问域管理员来执行此类活动。