Cybersicherheitsforscher haben eine neue Angriffstechnik namens Silver SAML offengelegt, die selbst dann erfolgreich sein kann, wenn Maßnahmen gegen Golden SAML-Angriffe ergriffen wurden. Silver SAML ermöglicht die Ausnutzung von SAML, um Angriffe von einem Identitätsanbieter wie Entra ID gegen Anwendungen durchzuführen, die für die Authentifizierung konfiguriert sind, z. B. Salesforce.
Golden SAML wurde erstmals von CyberArk im Jahr 2017 dokumentiert und ermöglicht im Grunde genommen den Missbrauch des interoperablen Authentifizierungsstandards, um fast jede Identität in einer Organisation zu imitieren. Ähnlich wie der Golden Ticket-Angriff gewährt es Angreifern die Möglichkeit, unbefugten Zugriff auf jeden Dienst in einer Föderation mit beliebigen Rechten zu erlangen und innerhalb dieser Umgebung auf stealthige Weise persistent zu bleiben.
Bisherige Angriffe mit dieser Methode waren selten, wobei der erste dokumentierte Einsatz die Kompromittierung der SolarWinds-Infrastruktur zur Erlangung administrativen Zugriffs durch Fälschung von SAML-Token mithilfe kompromittierter Zertifikate war.
Die neueste Variante ist eine Weiterentwicklung des Golden SAML-Angriffs, der mit einem Identitätsanbieter wie Microsoft Entra ID funktioniert und keinen Zugriff auf die Active Directory Federation Services (AD FS) erfordert. Der Angriff wurde als moderate Bedrohung für Organisationen eingestuft.
Nach einer verantwortungsvollen Offenlegung an Microsoft sagte das Unternehmen, dass das Problem nicht unmittelbar behoben wird, aber notwendige Maßnahmen ergriffen werden, um Kunden zu schützen.
Es gibt keine Beweise dafür, dass Silver SAML in freier Wildbahn ausgenutzt wurde, aber Organisationen sind verpflichtet, nur selbstsignierte Zertifikate von Entra ID für SAML-Signaturzwecke zu verwenden. Semperis hat auch ein Proof-of-Concept namens SilverSAMLForger veröffentlicht, um benutzerdefinierte SAML-Antworten zu erstellen.
