La campaña SolarWinds centra la atención en &#39Golden …



Los adversarios que ejecutan un ataque con éxito pueden lograr un acceso persistente en cualquier momento y en cualquier lugar a una pink de víctimas, dicen los investigadores de seguridad.

El compromiso recientemente revelado en SolarWinds y la posterior selección de muchas otras organizaciones han centrado la atención en una peligrosa técnica de omisión de Energetic Directory Federation Companies (ADFS) denominada «Golden SAML», sobre la que el proveedor de ciberseguridad CyberArk advirtió por primera vez en 2017.

El ataque brinda a los actores de amenazas una forma de mantener el acceso persistente a todos los servicios federados ADFS de una empresa. Esto incluye servicios de correo electrónico alojados, servicios de almacenamiento de archivos como SharePoint y aplicaciones de inteligencia empresarial alojadas, sistemas de tarjetas de tiempo y sistemas de viaje, según una publicación de blog site de Sygnia, con sede en Israel. La atención que la campaña de SolarWinds ha atraído a la técnica de ataque aumenta significativamente la probabilidad de que los adversarios la aprovechen en futuros ataques, Sygnia dijo. «Por lo tanto, se recomienda encarecidamente que las organizaciones actúen con rapidez para tomar las medidas necesarias para proteger su infraestructura (de inicio de sesión único) y establecer una supervisión eficaz para detectar y responder a tales ataques».

Según Sygnia, la técnica Golden SAML implica que los atacantes primero obtengan acceso administrativo al servidor ADFS de una organización y roben la clave privada necesaria y el certificado de firma.

Cuando un usuario de la organización víctima intenta acceder a un servicio federado como AWS o Microsoft 365, el servicio redirige la solicitud a ADFS para su autenticación. Normalmente, el usuario se autenticaría con ADFS y ADFS devolvería una respuesta SAML firmada o un token a la aplicación o servicio federado a través del sistema del usuario. La aplicación o el servicio federado verificaría la respuesta y permitiría al usuario iniciar sesión.

En un ataque de Golden SAML, cuando el usuario intenta acceder a un servicio y cuando el servicio redirige la solicitud a ADFS para la autenticación, el atacante falsificaría una respuesta SAML utilizando la clave robada para obtener acceso no autorizado. El vector de ataque permite que los adversarios obtengan acceso a infraestructura crítica y sin necesidad de ningún acceso adicional en el entorno de la víctima. Es importante destacar que los atacantes seguirán teniendo ese acceso hasta que la clave privada de ADFS sea invalidada y reemplazada, una tarea que requeriría alterar o terminar la conectividad a todos los sistemas federados, según Sygnia.

Arie Zilberstein, vicepresidente de respuesta a incidentes de Sygnia, dice que los servidores ADFS se consideran una infraestructura de «nivel cero» y, por lo tanto, suelen estar bien protegidos, lo que requiere altos privilegios de acceso. «Sin embargo, los actores de la amenaza en este caso tenían una gran ventaja: el ataque se originó en SolarWinds», dice. «Como SolarWinds Orion es una solución de monitoreo de TI, generalmente tiene acceso a cuentas con muchos privilegios y a la mayoría de los servidores en cualquier entorno, incluido ADFS».

Zilberstein dice que los actores de amenazas usaron Golden SAML en la fase posterior a la explotación después de comprometer la crimson interna y obtener acceso al entorno ADFS en las redes de víctimas objetivo. El objetivo era establecer un acceso persistente a recursos críticos como Microsoft 365. Robar el certificado de firma y la clave privada de los servidores ADFS les dio a los atacantes acceso en cualquier momento y en cualquier lugar a la pink de la víctima, independientemente del acceso adicional al entorno, dice.

Un grupo de amenazas persistentes avanzadas (APT) llamado Dark Halo (también conocido como UNC2452), que se cree que tiene su sede en Rusia, violó el sistema de compilación de computer software de SolarWinds e inyectó una puerta trasera llamada Sunburst en las actualizaciones del program de administración de purple Orion de la compañía. Las actualizaciones se enviaron a unas 33.000 organizaciones en todo el mundo, de las cuales unas 18.000 las instalaron en sus sistemas. Con un pequeño subconjunto de esas organizaciones, los atacantes utilizaron el troyano Sunburst para descargar otro malware para robar datos y realizar otras formas de ciberespionaje. Se cree que la mayoría de las víctimas son empresas de tecnología, organizaciones gubernamentales, contratistas y grupos de expertos. Entre las víctimas conocidas se encuentran el Departamento del Tesoro de EE. UU., Microsoft y el proveedor de seguridad FireEye.

SolarWinds ha dicho que los atacantes lograron envenenar las actualizaciones de software de Orion que la compañía lanzó entre marzo y junio de 2020. Sin embargo, Tarjeta de puntuación de seguridad dice que su investigación muestra evidencia de una puerta trasera troyanizada en los productos SolarWinds desde octubre de 2019, lo que significa que la infracción no se detectó durante un tiempo significativamente más largo de lo que se informó anteriormente.

Inicialmente, se creía que la plataforma Orion de SolarWinds period el único vector de acceso inicial. Sin embargo, a fines de la semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. Advirtió que tenía evidencia de que el grupo APT detrás del ataque SolarWinds había obtenido acceso a algunas redes utilizando otros métodos además de las actualizaciones contaminadas.

La CISA, la Agencia de Seguridad Nacional y Microsoft también advirtieron sobre los atacantes que eluden la autenticación multifactor (MFA) en las redes de las víctimas al robar claves privadas para el inicio de sesión único y falsificar tokens SAML. En una directiva de emergencia poco común, el CISA dijo que una de las formas en que el adversario estaba recopilando información de las redes de las víctimas después de que había ganado la inicial period obteniendo acceso privilegiado a los entornos de Energetic Listing, comprometiendo el certificado de firma SAML y luego creando tokens de autenticación no autorizados para acceder. servicios federados.

El CISA ha ordenado a todas las agencias civiles federales que desconecten sus instancias de SolarWinds y no instalen ninguno de los parches que la compañía ha emitido, hasta nuevo aviso. También ha advertido a todas las agencias civiles federales que no configuren el computer software SolarWinds para implementar la autenticación basada en SAML mediante ADFS. «Esta configuración está siendo explotada actualmente por el actor de amenazas asociado con esta actividad», señaló el CISA en su consultivo.

CyberArk, que en 2017 lanzó una herramienta que demuestra cómo funciona el ataque, describió a Golden SAML como un vector de ataque que brinda a los adversarios una forma de obtener acceso persistente con los privilegios que deseen a cualquier aplicación que admita la autenticación SAML, incluidos AWS y Azure.

El proveedor ha enfatizado que el vector de ataque no depende de un error de seguridad en SAML o con ADFS o cualquier proveedor de identidad. Dado que es un adversario con acceso administrativo al entorno de autenticación que ejecuta el ataque, los defensores pueden tener muchas dificultades para detectarlos, señaló el proveedor de seguridad.

«Creo que esta táctica se utilizará más comúnmente», dice Shaked Reiner, investigador cibernético principal de CyberArk Labs. «Con más y más servicios que se migran a la nube, SAML se ha convertido en el estándar de autenticación de facto para establecer la confianza entre la nube y los servicios locales».

En lugar de conformarse con obtener la cuenta predeterminada community Kerberos del dominio y falsificar cualquier identidad dentro de ese dominio, los atacantes pueden robar el certificado de firma del token SAML y falsificar casi cualquier identidad en toda la organización. «Después de obtener este certificado, es cuestión de firmar un token para cualquier identidad que los atacantes deseen, lo cual es un proceso bastante fácil», dice Reiner.

El vector de ataque es problemático para los defensores porque hace que el uso de MFA sea obsoleto. Dado que los usuarios obtienen un token SAML válido solo después de que se han autenticado usando MFA, los atacantes que usan Golden SAML pueden simplemente pasar por alto esa etapa por completo, dice. «Les permite ir directamente a falsificar una identidad utilizando el certificado robado, sin tener que conocer la contraseña del usuario o tener otros factores de autenticación». Los atacantes pueden otorgarse a sí mismos cualquier identidad y permiso que deseen, dice.

«Ningún cambio en las credenciales de los usuarios puede ayudar a remediar este vector de ataque», señala Reiner. «Una vez que los atacantes obtienen el certificado de firma de tokens SAML de la organización, este certificado debe cambiarse para revocar completamente la capacidad de los atacantes de usar un SAML dorado».

En su publicación de weblog, Sygnia describió algunas medidas que las organizaciones pueden tomar para detectar un ataque Golden SAML. Las medidas de detección están dirigidas a organizaciones con un entorno ADFS community. Incluyen la correlación de eventos de inicio de sesión con los eventos de autenticación de ADFS correspondientes y la identificación de eventos que involucran la exportación del certificado de firma desde el servidor ADFS.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first