NSA sobre trucos de autenticación (relacionados con la violación de SolarWinds)


NSA sobre trucos de autenticación (relacionados con la violación de SolarWinds)

La NSA ha publicado un consultivo que describe cómo los «ciberatactores malintencionados» están «manipulando la confianza en los entornos de autenticación federada para acceder a datos protegidos en la nube». Esto está relacionado con el hack de SolarWinds sobre el que he escrito anteriormente y representa una de las técnicas que utiliza el SVR una vez que ha obtenido acceso a las redes de destino.

Desde el resumen:

Los ciberactores malintencionados están abusando de la confianza en los entornos de autenticación federados para acceder a datos protegidos. La explotación se deliver después de que los actores hayan obtenido acceso inicial a la purple community de la víctima. Los actores aprovechan el acceso privilegiado en el entorno community para subvertir los mecanismos que utiliza la organización para otorgar acceso a la nube y los recursos locales y / o comprometer las credenciales de administrador con la capacidad de administrar los recursos de la nube. Los actores demuestran dos conjuntos de tácticas, técnicas y procedimientos (TTP) para obtener acceso a los recursos en la nube de la crimson de la víctima, a menudo con un enfoque distinct en el correo electrónico organizacional.

En el primer TTP, los actores comprometen los componentes locales de una infraestructura de SSO federada y roban la credencial o la clave privada que se united states para firmar tokens de Lenguaje de marcado de aserción de seguridad (SAML) (TA0006, T1552, T1552.004). Usando las claves privadas, los actores luego falsifican tokens de autenticación confiables para acceder a los recursos de la nube. Un reciente aviso de ciberseguridad de la NSA advirtió sobre los actores que explotan una vulnerabilidad en VMware Entry y VMware Identity Supervisor que les permitió realizar este TTP y abusar de la infraestructura de SSO federada. de los actores podrían aprovechar este TTP para sus objetivos. Esta técnica de falsificación de SAML ha sido conocida y utilizada por ciberactores desde al menos 2017.

En una variación del primer TTP, si los actores cibernéticos malintencionados no pueden obtener una clave de firma regional, intentarán obtener suficientes privilegios administrativos dentro del inquilino de la nube para agregar una relación de confianza de certificado malicioso para falsificar tokens SAML.

En el segundo TTP, los actores aprovechan una cuenta de administrador global comprometida para asignar credenciales a los principales de servicio de aplicaciones en la nube (identidades para aplicaciones en la nube que permiten que las aplicaciones sean invocadas para acceder a otros recursos en la nube). Luego, los actores invocan las credenciales de la aplicación para el acceso automatizado a los recursos de la nube (a menudo, el correo electrónico en specific) que de otro modo sería difícil de acceder para los actores o serían más fácilmente detectados como sospechosos (T1114, T1114.002).

Esta es una historia en curso, y espero ver mucho más sobre TTP, un bonito acrónimo allí, en las próximas semanas.

Relacionado: Tom Bossert tiene un artículo de opinión mordaz en la brecha. Jack Goldsmith&#39s ensayo vale la pena leerlo. Asi es Nick Weaver.

Publicado el 18 de diciembre de 2020 a las 10:35 h. •
13 comentarios



Enlace a la noticia authentic