Krypton Solid

La última tecnología en raciones de 5 minutos

CrowdStrike analiza el ataque ‘Golden SAML’

El proveedor de seguridad CrowdStrike les dio a los asistentes a la conferencia RSA un vistazo al funcionamiento interno de la infame técnica de ataque «Golden SAML».

Culpado de una serie de violaciones de alto perfil, incluida la infección de la cadena de suministro en SolarWinds y una serie de otras infiltraciones atribuidas a grupos patrocinados por el estado en Rusia, un atraco exitoso de Golden SAML dará como resultado que los atacantes obtengan un control completo sobre los sistemas locales y en la nube. .

Durante la breve demostración principal, el CTO de CrowdStrike, Michael Sentonas, explicó que, al levantar el token del Lenguaje de marcado de aserción de seguridad (SAML) para una sola cuenta de administrador, un atacante podría moverse lateralmente a través de la red de una empresa y no solo obtener el control de la red local. sistemas, pero también acceden a instancias en la nube con comprobaciones de autenticación multifactor.

Si bien la técnica Golden SAML se conoce desde hace varios años (los investigadores del proveedor de seguridad CyberArk la desarrollaron por primera vez en 2017) y teorizaron ya a fines de la década de 1990, solo recientemente ha llamado la atención del público, gracias a SolarWinds incidente y posterior testimonio en el Congreso del CEO de CrowdStrike, George Kurtz, y otros.

«Demostró que sus problemas locales no permanecen en las instalaciones cuando se cambia a la nube», dijo Sentonas. «Demostró que un ataque en las instalaciones podría provocar un compromiso en la nube y otras aplicaciones en la nube».

Durante una sesión de apertura del jueves en la Conferencia RSA, Sandra Joyce, vicepresidenta ejecutiva y jefa de inteligencia global en FireEye, dijo que la técnica tuvo consecuencias de gran alcance en la violación de SolarWinds. «Con la actividad de SolarWinds, vimos que se estaba utilizando la técnica SAML, lo que les permitió crear sus propios tokens y tener acceso a múltiples aplicaciones dentro del mismo entorno federado», dijo.

La clave del ataque, dijo Sentonas, es la forma en que los servicios de federación de Active Directory de Microsoft (ADFS) manejan los tokens SAML. Un modelo unido a un dominio permite que una sola cuenta de administrador comprometida obtenga claves y certificados ADFS que también brindarían acceso a servicios en la nube, incluidos Azure y Office 365.

Si bien obtener el control de un servidor y moverse lateralmente a través de la red para obtener las claves ADFS de un administrador requiere un grado de habilidad y un reconocimiento extenso, Sentonas dijo que todas las herramientas necesarias para un ataque son de código abierto y están ampliamente disponibles. En su demostración de la Conferencia RSA, el CTO de CrowdStrike utilizó herramientas como Mimikatz y Burp Suite para pasar de una cuenta de servicio en un servidor de cadena de suministro al controlador ADFS y extraer un hash de New Technology LAN Manager (NTLM) para un administrador.

Esa información extraída se puede usar para acceder a ADFS con la cuenta de administrador y obtener el boleto privado que ADFS usa para establecer una conexión confiable, también conocido como el certificado Golden SAML.

La clave aquí es el papel que juega Golden SAML en el acceso no solo a los servidores locales, sino también a los servicios en línea. Una vez decodificado y limpiado por el atacante, el certificado firma objetos SAML en Azure y otros servicios en la nube de Microsoft.

Una vez que se levante el codiciado certificado privado, el atacante tendría la capacidad de falsificar solicitudes SAML, dándoles no solo control como administrador, sino la capacidad de presentarse como cualquier otro usuario con cualquier nivel de acceso.

Esto significa que el atacante podría configurar múltiples puntos de control y puertas traseras a la red, otorgando acceso persistente, incluso si el ataque fue detectado y la red local estaba protegida. Si, por ejemplo, el servidor comprometido original estuviera protegido, el atacante usaría su control sobre el servidor en la nube para restablecer su conexión y volver a la red local.

«El adversario no solo puede saltar a la nube desde nuestras instalaciones [systems], pueden comprometer el entorno local [data] desde la nube «, dijo Sentonas.

«Cuando el adversario tiene este tipo de control circular en el entorno, debemos tener cuidado en la forma en que desalojamos al adversario para que ya no esté en el entorno; ya no tiene privilegios y no se ha establecido por un tiempo. a más largo plazo «, añadió.

Para resolver por completo tales amenazas y prevenir ataques recurrentes, Sentonas aconsejó a los administradores que cambien la forma en que ven la seguridad y las respuestas a las brechas de red. En lugar de simplemente limpiar lo que parece ser el punto de entrada o el servidor de destino, las empresas deben asegurarse de que toda su red, tanto en la nube como en las instalaciones, esté limpia y bloqueada, en particular aquellas que enlazan la nube y en- sistemas locales juntos.

Además, se recomienda que las empresas extiendan las protecciones de confianza cero a las redes locales, aseguren las cuentas de servicio que pueden brindar al atacante un punto de entrada y consideren cómo los privilegios de usuario en los servicios en la nube podrían volver para permitir ataques en las instalaciones.

Deja un comentario

También te puede interesar...

Cómo poner la contraseña en un archivo de Excel

Estás cansado de encontrar tus objetos de valor documentos excel molesto por las intervenciones no autorizadas de amigos y familiares? No lo dudes: protégelos con una buena contraseña. De esta manera, las hojas de cálculo

Open Solutions Alliance comprada por europeos

OW2, un consorcio europeo dedicado a la creación de middleware de código abierto, ha adquirido Alianza de Soluciones Abiertas, un grupo de dos años dedicado a la creación de canales de revendedores de código abierto.

Cómo ver la durabilidad de los objetos en Minecraft

Modo supervivencia de Minecraft, el popular videojuego sandbox desarrollado por Mojang, es especialmente divertido y de hecho últimamente te has estado sumergiendo en el mundo de los «cubos». Ahora has logrado dominar algunas mecánicas, pero

Calcular las calificaciones salariales en SAP HR

¿Hay alguna manera de calcular automáticamente una asignación que se base en el salario básico del siguiente grado superior del salario de SAP HR? Para la nómina de EE. UU., No conozco una forma automática

¿Qué es una auditoría financiera?

¿Qué es una auditoría? El término auditoría generalmente se refiere a una auditoría de los estados financieros. Una auditoría financiera es un examen y evaluación objetivos de los estados financieros de una organización para garantizar

Definición de Morris Plan Bank

¿Qué es un Banco del Plan Morris? El término Morris Plan Bank se refiere a un tipo de banco que se creó para prestar dinero a personas que de otro modo no podrían obtener préstamos

El libro Birdie imagina su horror religioso

Este otoño, El borde tomar una decisión. La eleccion es el miedo! Decidimos abrazar la temporada adoptando tantas películas de terror nuevas como fuera posible e informando cuál vale la pena. Llamamos a esta serie