资安业者CyberArkLabs做出攻击技术 能冒充任何使用者身分

资安业者CyberArkLabs在上周展示了名为Golden SAML的攻击技术，它类似著名的Golden Ticket攻击，都是针对认证协议展开攻击，且皆属于先入侵企业网络之后的「后攻击」（Post-Exploitation）行为，可以冒充任何使用者的身分以于企业应用中畅行无阻。

Golden Ticket所攻击的是Kerberos计算机网络认证协议，Golden SAML则是攻击SAML 2.0认证数据交换协议，特别是身分供货商与服务供货商之间的认证数据交换，最常见也最重要的应用为基于网络浏览器的单一签入（ single sign-on，SSO）。

SAML协议的运作方式（下图，来源：CyberArkLabs）是使用者先向服务供货商（SP）发送登入请求，服务供货商再透过使用者传送SMAL请求（SAMLRequest）予身分供货商（IdP），IdP同样藉由使用者传递响应（SAMLResponse）予SP，SP在检查SAMLResponse之后便可允许使用者登入。

在上述的流程中，研究人员所开采的是SAMLResponse，设想若持有储存用户身分及权限之对象的签名密钥，就能伪造认证物件，冒充任何使用者以非法存取SP；SAMLResponse对象内含用户名称、权限集及有效期等。

CyberArk Labs指出，Golden SAML攻击的好处在于它几乎可以在任何环境中产生，可突破双因素认证的封锁线，所取得的私钥不会自动更新，就算变更了用户密码也不会影响该SAML。

不过，执行Golden SAML攻击的条件包括必须取得令牌签名私钥、IdP公开凭证、IdP名称及角色名称，再加上网域及用户名称、网络服务的角色期间名称，以及网络服务的账号名称等。

CyberArk Labs强调，Golden SAML攻击并非仰赖SAML 2.0或是任何IdP服务的漏洞，但它让黑客能够取得未经授权的存取能力，允许黑客蛰伏于企业环境中且拥有任何权限。

此外，假设黑客成功执行了Golden SAML攻击，将很难被侦测到，CyberArk Labs建议企业应妥善监控及管理Active Directory FederationServices（AD FS）或其他IdP服务的账号，可能的话最好定期自动更新签名私钥，以提高攻击门坎。

更多文章请往；LHF利豪发电子游戏