Golden SAML: la conexión Solorigate

  • Opinión

Shaked Reiner, CyberArk

Shaked Reiner, Security Researcher de CyberArk, describe en este artículo cómo funciona Golden SAML, ahora conocida como Solorigate, uno de los ataques de cadena de suministro más elaborado.

El ataque a SolarWinds Orion, llevado a cabo por el actor de amenazas (UNC2452), ha sido uno de los más elaborados a la cadena de suministro, y  puso al descubierto una de las técnicas más innovadoras: Golden SAML, ahora conocida como Solorigate. En CyberArk Labs ya describimos este vector de ataque a finales de 2017, pero es la primera vez que lo vemos utilizado de esta manera.

Golden SAML permite a los atacantes, una vez que tienen acceso privilegiado a la red, hacerse pasar por casi cualquier identidad de la compañía y adquirir cualquier tipo de privilegio. Si bien esto depende de qué servicios en la organización utilizan SAML como protocolo de autenticación. Y funciona como una técnica similar llamada Golden Ticket. Golden SAML presenta en un entorno de organización las mismas ventajas que ofrece Golden Ticket en un entorno Kerberos, es decir, aplica el mismo principio en un entorno diferente.

Golden SAML es un vector de ataque que puede ofrecer potentes ventajas a los atacantes, entre ellas:

Flexibilidad: Golden SAML permite a los atacantes hacerse pasar, en la organización, por casi cualquier identidad que deseen. Lo cual les beneficia por dos razones. Primera, porque los atacantes capaces de realizar un ataque Golden SAML pueden obtener acceso a todos los servicios o activos de la organización, siempre que sea parte de la comunidad, claro.

Segunda, si un atacante tiene la capacidad de realizar un ataque Golden SAML, cualquiera que sea la acción que pretenda llevar a cabo, puede hacerla usando la identidad de un usuario “conocido”, lo que disminuye las posibilidades de ser detectado. Es decir, está combinando acciones maliciosas con actividades legítimas. Los atacantes de SolarWinds hicieron precisamente eso, por lo que es muy probable que fuera esa flexibilidad y la capacidad de mezcla los factores que "vendieron" a UNC2452 la idea de utilizar el vector Golden SAML.

Omisión de Autenticación Multifactor (MFA): el uso de esta técnica puede hacer que la capa de seguridad adicional que proporciona MFA sea completamente inútil. Dado que los usuarios obtienen un token SAML válido después de autenticarlos mediante MFA, los atacantes que utilizan Golden SAML pasan directamente a falsificar una identidad utilizando el certificado robado, sin tener que conocer la contraseña del usuario u otros factores de autenticación. Esto muestra que la sensación de seguridad que brinda MFA podría ser falsa en algunos casos.

Dificultad para detectar: descubrir un ataque de este tipo puede ser extremadamente difícil para los defensores. Aunque existen diversos métodos que pueden detectar este comportamiento malicioso, muchas organizaciones no son conscientes de este tipo de amenaza y no monitorizan la autenticación SAML (especialmente no en la era anterior a Solorigate).

Dificultad para corregir: cuando un atacante roba un certificado de firma de token SAML, la cosa se complica. Porque si se intentan cambiar las contraseñas, el atacante puede seguir creando tokens SAML que se hacen pasar por esa persona, sin la necesidad de conocer la contraseña real (al igual que puede eludir MFA). Por ello, lo aconsejable es cambiar el certificado de firma del token real, lo que significa restablecer la confianza en toda su comunidad.

Persistencia a largo plazo: Las contraseñas se cambian cada determinado período de tiempo, pero un certificado de firma de tokens SAML casi nunca se cambia. Esto permite a los atacantes mantener su acceso durante mucho tiempo.

Algunos consejos para detener y atenuar los ataques Golden SAML:  

Siga las mejores prácticas de la tecnología de proveedor de identidad (IdP) de su organización. Algunos IdP admiten la protección del certificado de firma de token en un módulo de seguridad de hardware (HSM).
• Proteja sus activos de nivel 0, lo que incluye tener una gestión de credenciales adecuada, implementar una solución de gestión de acceso privilegiado, un EDR, etc.
• Examine los tokens SAML para identificar a los sospechosos (es decir, tokens con una vida útil inusualmente larga o con reclamos inusuales).
• Ajuste los registros entre su proveedor de identidad y de servicios. Si ve una autenticación SAML en su proveedor de servicios que no se correlaciona con la emisión de un token SAML por parte del proveedor de identidad, algo está mal.
• Utilice soluciones de seguridad de terceros para evitar que los atacantes roben el certificado de firma de tokens.

 Shaked Reiner, Security Researcher, CyberArk

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos