新型攻击技术Golden SAML:可伪造企业信息窃取云应用资源
网络安全公司CyberArk Labs研究人员于近期设计了一种新型入侵攻击技术Golden SAML,允许黑客创建虚假的企业信息后伪造身份验证,从而窃取云应用资源。目前,CyberArk已推出一款新黑客工具shimit,可以实现Golden SAML攻击技术。SAML (Security Assertion Markup Language)协议是用户与服务供应商交换身份验证和授权数据的开放标准,而黑客可以通过 Golden SAML 攻击技术伪造 “身份验证对象”,并使用 SAML 2.0 协议作为 SSO 机制的所有服务验证,从而获取用户最高特权。此外,在 Golden SAML 攻击中,黑客还可访问所有支持 SAML 认证的应用程序(如 Azure、AWS、vSphere等)并拥有其任一特权。研究显示,由于 SAML 协议中的每条声明都是通过存储在用户环境中的特定 RSA 密钥进行信任与签名。因此,为了进行该攻击活动,其黑客需要使用一私有密钥,并与 Active Directory 联合身份验证账户、令牌签名私钥、IdP 公共证书、IdP 名称、所扮演的角色名称、域/用户名,以及 AWS 中的角色会话名称与亚马逊帐户 ID 等共同操作才可完成攻击活动。研究人员表示,这些攻击的先决条件极其重要,因为此技术不易在真正的攻击场景中使用。另外,如果想要减轻 Golden SAML 攻击也并不容易,因为它既不依赖 SAML 2.0 漏洞,也未通过 AWS / ADFS 漏洞进行,事实上,攻击者主要通过获取域管理员访问权限实施此类活动。此外,一旦该攻击技术被恶意使用,其系统将很难检测出来。然而,值得注意的是,研究人员特意令 Golden SAML 的命名与此前一种臭名昭着的攻击技术 “Golden Ticket” 类似,其原因是他们想通过前者设计验证后者的危害程度,所以这两种技术具有极其相似的攻击性质。据悉,后者在 Kerberos 环境中可持久性获得任一类型访问权限并还可通过操纵 Windows Server Kerberos 身份验证框架,完全控制目标 IT 基础设施。
页:
[1]