Uma nova vulnerabilidade denominada «Silver SAML» pode ser explorada mesmo que as organizações sigam as recomendações de segurança destinadas a proteger contra a «Golden SAML»
HOBOKEN, NJ – 29 de fevereirode 2024 – A Semperis, pioneira em resiliência cibernética orientada para a identidade, anunciou hoje que a sua equipa de investigação em segurança descobriu uma nova variante da famosa técnica de ataque Golden SAML, a que deu o nome de Silver SAML. Através do Silver SAML, os autores de ameaças podem explorar o SAML para lançar ataques a partir de um fornecedor de identidade, como o Entra ID, contra aplicações configuradas para utilizar o protocolo para autenticação, tais como o Salesforce.
O Golden SAML foi utilizado após a violação de segurança ocorrida no ciberataque à SolarWinds em 2020, para se deslocar lateralmente dentro da rede da empresa. O grupo de ameaças Nobelium, também conhecido como Midnight Blizzard/Cozy Bear, introduziu código malicioso no software de gestão de TI Orion da SolarWinds, infetando quase 100 organizações, incluindo o Governo dos EUA. Este ataque é considerado o ciberataque perpetrado por um Estado-nação mais sofisticado da história. Na sequência do ataque, a Agência de Segurança da Infraestrutura de Cibersegurança (CISA) encorajou as organizações com ambientes de identidade híbridos a migrarem a autenticação SAML para um sistema de identidade na nuvem, como o Entra ID.
Proteção contra ataques SAML do tipo «Silver»
Para se protegerem eficazmente contra ataques Silver SAML no Entra ID, as organizações devem utilizar apenas certificados autoassinados do Entra ID para fins de assinatura SAML. As organizações devem também restringir quem tem a propriedade das aplicações no Entra ID e monitorizar as alterações nas chaves de assinatura SAML, especialmente se a chave não estiver prestes a expirar.
“Na sequência do ciberataque à SolarWinds, a Microsoft e outras entidades, incluindo a CISA, afirmaram que a migração para o Entra ID (na altura, o Azure AD) protegeria contra a falsificação de respostas SAML, também conhecida como Golden SAML. Infelizmente, a proteção total contra este tipo de ataques é mais complexa. Se as organizações transportarem certas práticas de gestão de certificados consideradas «maus hábitos» do Active Directory Federation Services para o Entra ID, as aplicações no seu ambiente continuam suscetíveis à falsificação de respostas SAML, a que chamámos Silver SAML», afirmou Eric Woodruff, investigador da Semperis.
Os investigadores da Semperis classificam a vulnerabilidade Silver SAML como MODERADO para as organizações. No entanto, dependendo do sistema comprometido, caso o Silver SAML seja utilizado para obter acesso não autorizado a aplicações e sistemas críticos para o negócio, o nível de risco poderá aumentar para GRAVE .
Para saber mais sobre a vulnerabilidade Silver SAML, visite: https://www.semperis.com/blog/meet-silver-saml/
Sobre a Semperis
A Semperis protege serviços críticos de identidade empresarial para equipas de segurança encarregadas de defender ambientes híbridos e multicloud contra ciberataques, fugas de dados e erros operacionais. Concebida especificamente para proteger ambientes de identidade híbridos — incluindo o Active Directory, o Entra ID e o Okta —, a tecnologia patenteada da Semperis protege mais de 100 milhões de identidades em agências governamentais e nas principais empresas mundiais.
Como parte da sua missão de ser uma força para o bem, a Semperis oferece uma variedade de recursos para a comunidade cibernética, incluindo a premiada Conferência Hybrid Identity Protection (HIP), o podcastHIP « » e ferramentas gratuitas de segurança de identidade Purple Knight e Forest Druid. A Semperis é uma empresa internacional privada com sede em Hoboken, Nova Jérsia, com clientes em mais de 40 países.
Saiba mais: https://www.semperis.com
Siga-nos: Blog / LinkedIn / X / Facebook / YouTube
Contato com a mídia:
Bill Keeler
Diretor Sénior, Relações Públicas e Comunicação
billk@semperis.com
