新型攻击技术Golden SAML：可伪造企业信息窃取云应用资源

网络安全公司CyberArk Labs研究人员于近期设计了一种新型入侵攻击技术Golden SAML，允许黑客创建虚假的企业信息后伪造身份验证，从而窃取云应用资源。目前，CyberArk已推出一款新黑客工具shimit，可以实现Golden SAML攻击技术。

SAML （Security Assertion Markup Language）协议是用户与服务供应商交换身份验证和授权数据的开放标准，而黑客可以通过 Golden SAML 攻击技术伪造 “身份验证对象”，并使用 SAML 2.0 协议作为 SSO 机制的所有服务验证，从而获取用户最高特权。此外，在 Golden SAML 攻击中，黑客还可访问所有支持 SAML 认证的应用程序（如 Azure、AWS、vSphere等）并拥有其任一特权。

研究显示，由于 SAML 协议中的每条声明都是通过存储在用户环境中的特定 RSA 密钥进行信任与签名。因此，为了进行该攻击活动，其黑客需要使用一私有密钥，并与 Active Directory 联合身份验证账户、令牌签名私钥、IdP 公共证书、IdP 名称、所扮演的角色名称、域/用户名，以及 AWS 中的角色会话名称与亚马逊帐户 ID 等共同操作才可完成攻击活动。

研究人员表示，这些攻击的先决条件极其重要，因为此技术不易在真正的攻击场景中使用。另外，如果想要减轻 Golden SAML 攻击也并不容易，因为它既不依赖 SAML 2.0 漏洞，也未通过 AWS / ADFS 漏洞进行，事实上，攻击者主要通过获取域管理员访问权限实施此类活动。此外，一旦该攻击技术被恶意使用，其系统将很难检测出来。

然而，值得注意的是，研究人员特意令 Golden SAML 的命名与此前一种臭名昭着的攻击技术 “Golden Ticket” 类似，其原因是他们想通过前者设计验证后者的危害程度，所以这两种技术具有极其相似的攻击性质。据悉，后者在 Kerberos 环境中可持久性获得任一类型访问权限并还可通过操纵 Windows Server Kerberos 身份验证框架，完全控制目标 IT 基础设施。