Una vez dentro del ADFS, los atacantes «podrían robar datos, una clave privada, necesaria para comunicar SAML a las aplicaciones empresariales, haciéndose pasar por autenticación y usuarios», dijo el investigador de Semperis, Woodruff.
Los expertos en ciberseguridad recomendaron cambiar a un proveedor de identidad en la nube, ya que prometía una mejor seguridad de la clave privada.
Con Entra ID, la clave privada utilizada para realizar un ataque Golden SAML se almacena de manera que sólo los servicios de Microsoft puedan acceder a ella, explicó Woodruff. Mientras que con ADFS, un administrador o un atacante que tiene acceso de administrador puede escribir y leer la clave privada, con Entra ID solo los administradores pueden escribirla, por lo que un atacante no puede leerla.
Silver SAML abusa de los certificados generados externamente
Cuando las aplicaciones se configuran con Entra ID para realizar autenticaciones SAML, la generación de los certificados de firma SAML se realiza de forma predeterminada en Microsoft. Por lo tanto, de forma predeterminada, debido a que no se puede exportar la parte de la clave privada del certificado, un atacante nunca podrá obtenerla, explicó Woodruff.
Sin embargo, debido a las políticas y requisitos empresariales, un administrador a veces puede obtener este certificado externamente y luego cargar la parte de la clave pública y privada en Entra ID. «Es la exposición que ocurre entre dónde y cómo obtuvieron ese certificado generado externamente y lo cargaron en Entra ID lo que se convierte en un riesgo, ya que deja lugares donde un atacante podría intentar encontrar la clave privada», agregó Woodruff.
Las organizaciones, según la POC, a menudo tienden a generar certificados de firma en un sistema cliente, a través de una infraestructura de clave pública (PKI) empresarial, como Active Directory Certificate Services (AD CS), o desde una autoridad de certificación (CA) externa. Luego, para aumentar los riesgos, utilizan estos certificados a través de canales inseguros como Teams o Slack, en máquinas cliente, dejando los certificados disponibles para exportar en el almacén de certificados local de las máquinas o en servidores web, que generalmente ejecutan Microsoft Internet Information. Servicios (IIS), dejando los certificados disponibles para exportación.