סייברארק חושפת: מתקפות המזייפות אימות למשתמשים ביישומי ענן

על פי החוקרים, "מדובר בסיכון לא מבוטל, כיוון שטכניקת golden SAML מאפשרת לתוקפים לזייף זהות וליצור הזדהות לכל אפליקציית ענן"

golden SAML

נחשפה טכניקת תקיפה חדשה, אשר מאפשרת לתוקפים לזייף זהות וליצור הזדהות לכל אפליקציית ענן, כך על פי מחקר חדש של מעבדות סייברארק (CyberArk Labs).

טכניקת התקיפה החדשה מכונה בשם "golden SAML". על פי החוקרים, "מדובר בסיכון לא מבוטל, כיוון שהיא מאפשרת לתוקפים לזייף זהות וליצור הזדהות לכל אפליקציית ענן – Azure, AWS, vSphere ועוד – אשר תומכת בהזדהות SAML. השימוש בטכניקה זו של 'לאחר-פריצה', מאפשר לתוקפים להפוך לכל משתמש שירצו להיות, ברמה הגבוהה ביותר של הרשאה פריבילגית – ובכך להשיג גישה מאושרת לכל סביבות הענן השונות, AWS ,Azure ,vSphere ,Google Cloud, ו-Office 365, לכל אפליקציה שירצו לפרוץ אליה".

פרוטוקול SAML, או Security Assertion Markup Language, מבוסס תקן פתוח להחלפת נתוני אימות והרשאות בין צדדים שונים, לרבות בין ספק זהות לבין ספק שירות.

לא לשאוב את זהות הקורבן

על פי חוקרי ענקית אבטחת המידע הישראלית, טכניקת התקיפה הזו משקפת את מתקפת golden ticket המפורסמת, שנמצאת בלבה של נוזקת Mimikatz, אשר תוכננה כדי לגנוב הרשאות, להקל על תנועה רוחבית ברשת ולסייע לתוקפים לשמור על נוכחות קבועה בה.

Golden SAML מציגה את התפיסות הללו לסביבות federated, תוך שהיא מאפשרת לתוקפים לזייף גישה פריבילגית חזקה, ובו זמנית – לשמור על נוכחות חשאית ברשת ובאפליקציות צד שלישי.

באופן מפתיע, נכתב בבלוג החברה, "ספקי הענן, כולל מיקרוסופט (Microsoft), כמי שמספקת את רכיב ה-federation, לא מטפלים בטכניקה הזו, כיוון שתוקפים צריכים להיות admin ב-domain federation – כתנאי להצלחת המתקפה".

לדברי החוקרים, "בתקופה שבה יותר ויותר תשתיות ארגוניות עוברות לענן, האקטיב דיירקטורי (AD) אינו עוד הסמכות הגבוהה ביותר לאימות ולאישור של משתמשים. AD יכול עכשיו להיות חלק ממשהו גדול יותר – פדרציה".

"הפדרציה מאפשרת אמון בין סביבות שונות שאינן קשורות ביניהן, כגון זו של אמזון (Amazon) וזו של מיקרוסופט, ועוד רבות אחרות. האמון הזה מאפשר למשתמש ב-AD, לדוגמה, להיות מסוגל ליהנות מהיתרונות של SSO לכל הסביבות המהימנות בפדרציה זו. כך, התוקף לא יוכל 'לשאוב' את זהות המשתמש הקורבן".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים