Méthode d’attaque SAML dorée utilisée par le groupe APT derrière le piratage de SolarWinds
Table des matières :
Les adversaires appliquent une méthode malveillante Golden SAML pour étendre l’échelle de la compromission liée au piratage de SolarWinds. Bien que les chercheurs en sécurité aient initialement considéré que le logiciel SolarWinds Orion était un vecteur d’accès unique, une enquête plus approfondie révèle que la technique Golden SAML permet d’obtenir une persistance sur n’importe quelle instance au sein d’un environnement cloud ciblé qui maintient l’authentification SAML (par exemple, Azure ou AWS).
Vecteur d’attaque Golden SAML
La méthode Golden SAML a été découverte et décrite en 2017 par les chercheurs de CyberArc. En particulier, elle abuse du protocole SAML 2.0 (Security Assertion Markup Language) qui sert de norme centrale pour les procédures de connexion unique (SSO) à travers tous les actifs organisationnels supportant les services de fédération Active Directory (ADFS). Ces services peuvent inclure des applications pour l’intelligence d’affaires, les stockages cloud (par exemple, Sharepoint), les systèmes de gestion du temps et des présences, les services de messagerie, qui sont des points d’intérêt notables pour les acteurs de la menace. Et SAML 2.0, à son tour, permet une autorisation confortable pour toutes ces applications au sein de la fédération via un ensemble standard de données de connexion lié à l’identité fédérée.
À la première étape de l’intrusion Golden SAML, les cybercriminels obtiennent des droits de niveau administrateur sur le serveur ADFS de l’organisation. Cela est nécessaire pour obtenir une clé privée SAML et un certificat dédié pour signer des jetons. Ensuite, les attaquants attendent qu’un employé au sein de l’environnement compromis tente de se connecter au service fédéré (Microsoft 365, vSphere, ou autre). Pendant le processus de connexion, le service envoie une AuthnRequest à ADFS et attend son retour avec une réponse ou un jeton SAML signé. Si la réponse est valide, le service confirme la connexion. Cependant, pendant la routine Golden SAML, les adversaires falsifient la réponse SAML via une clé privée détournée, ce qui leur permet de pénétrer les actifs de l’organisation. Il est important de noter que l’accès durerait continuellement jusqu’à ce que la clé privée ADFS soit considérée invalide. Et cela représente une période longue car le remplacement de la clé privée suppose une procédure complexe. Suite à l’attaque Golden SAML réussie, les acteurs de la menace obtiennent un accès persistant au réseau à tout moment, depuis n’importe quel endroit, et avec les privilèges de leur choix. Cela fonctionne même si l’authentification à deux facteurs (2FA) est activée, ou si une victime change les détails de connexion.
Traces du piratage SolarWinds
The L’incident SolarWinds est devenu la première occasion où la méthode Golden SAML a été utilisée dans la nature. L’agence américaine de cybersécurité et de sécurité de l’information (CISA) indique que la compromission de la plateforme SolarWinds Orion pourrait ne pas être un point d’accès unique lors de l’attaque de la chaîne d’approvisionnement. Les chercheurs en sécurité soutiennent cette affirmation et estiment que la technique Golden SAML pourrait avoir été utilisée simultanément pour pénétrer un grand nombre d’institutions. En particulier, les directives de Microsoft indiquent une activité malveillante accrue d’un acteur APT étatique visant des cibles de haut profil tant dans le secteur public que privé. Cette activité est associée à Golden SAML et résulte en un accès persistant aux réseaux et en une reconnaissance plus poussée dans les environnements compromis. Par conséquent, les fournisseurs sont exhortés à couper leurs instances SolarWinds et sont restreints à configurer le logiciel SolarWinds pour l’authentification basée sur SAML via ADFS.
Détection des attaques Golden SAML
L’intrusion est difficile à identifier, ce qui a donné aux adversaires un temps précieux pour compromettre des données hautement sensibles. C’est pourquoi l’équipe SOC Prime a développé une liste de règles Sigma Golden SAML. Consultez les liens ci-dessous pour télécharger les règles et soyez prêt à détecter l’activité malveillante à temps.
Modèles possibles d’attaques Golden SAML (via sysmon)
Modèles possibles d’attaques Golden SAML (via audit)
Modèles possibles d’attaques Golden SAML (via powershell)
Modèles possibles d’attaques Golden SAML (via cmdline)
Le 15 janvier 2021, nous avons publié deux autres éléments de contenu SOC qui contribuent à la détection des attaques Golden SAML. Consultez les nouvelles règles Sigma de notre développeur Threat Bounty Sittikorn Sangrattanapitak pour rester en sécurité.
Exportations de certificats détectées sur le serveur ADFS (via name pipe)
Exportations de certificats détectées sur le serveur ADFS (via application)
Mises à jour du 20 janvier 2021
Mises à jour du 21 janvier 2021 :
Détection de la modification de la confiance ADFS
Abonnez-vous au Threat Detection Marketplace pour accéder à plus de 81 000 éléments de contenu SOC applicables à la majorité des solutions SIEM et EDR. N’hésitez pas non plus à rejoindre notre programme Threat Bounty pour développer votre propre contenu de chasse aux menaces !
