Golden SAML továbbfejlesztése

Editors' Pick

A Mandiant egy új támadási technikát ismertetett, amely lehetővé teszi az aktív Active Directory Federation Services aláírókulcsok kinyerését a Windows Machine DPAPI segítségével. A módszer a jól ismert Golden SAML támadás továbbfejlesztése ha a támadó megszerzi az ADFS tokenaláíró tanúsítvány privát kulcsát, tetszőleges felhasználó nevében érvényes SAML-tokeneket állíthat elő, így Microsoft 365, Entra ID és más SAML-alapú szolgáltatások felé hitelesítheti magát, megkerülve a többtényezős hitelesítést (MFA) és más identitásalapú védelmeket. Az újdonság nem maga a Golden SAML technika, hanem az aktív kulcs visszanyerésének módja. 

A kutatás szerint a probléma olyan környezetekben jelentkezik, ahol az AutoCertificateRollover funkciót kikapcsolták, és a tokenaláíró tanúsítványokat kézzel cserélik. Ilyenkor előfordulhat, hogy az ADFS adatbázisában egy régi, már nem használt – úgynevezett ghost certificate – rekord marad, miközben az ADFS szolgáltatás valójában egy új tanúsítvánnyal írja alá a tokeneket. A hagyományos adatbázis-kinyerési módszer ilyenkor csak ezt az elavult tanúsítványt adja vissza, amelyet az Entra ID elutasít. A Mandiant azonban kimutatta, hogy az aktuálisan használt privát kulcs továbbra is megtalálható a szerver Machine DPAPI által védett gépszintű kriptográfiai tárában, ahonnan SYSTEM jogosultsággal visszanyerhető anélkül, hogy a támadónak az LSASS memóriáját vagy a futó ADFS-folyamatot kellene közvetlenül elérnie. Ez csökkentheti a támadás észlelhetőségét a hagyományos EDR-megoldások számára. 

A Mandiant szerint az érintett szervezeteknek ellenőrizniük kell, hogy az AutoCertificateRollover engedélyezett-e, illetve keresniük kell a konfigurációs eltérés jeleit, például a Microsoft Event ID 385 eseményeket. 

FORRÁS