was successfully added to your cart.

Carrito

Los piratas informáticos apuntan a tokens SAML de oro para el acceso a la red

By octubre 10, 2021Blog

Un grupo de APT se ha dirigido recientemente al servidor de Active Directory del entorno Office365 de una víctima extorsionando los tokens SAML secretos. Estos tokens transmiten información sobre usuarios, inicios de sesión y atributos entre la identidad y los proveedores de servicios.


¿Lo que ha sucedido?


Los investigadores descubrieron que el grupo de amenazas se dirigió al entorno de Office 365 que se cree que tiene un modelo de autenticación híbrido configurado o que funciona completamente en una red en la nube.
El actor de amenazas secuestró el servidor AD FS probablemente usando credenciales robadas y obtuvo acceso al servidor que explota el token SAML.
Los atacantes se dirigieron específicamente a los certificados de firma de tokens y las claves privadas utilizadas para indicar los tokens SAML, dentro de los servidores. Este certificado tiene una validez predeterminada de un año.
Permite a los ciberdelincuentes iniciar sesión en Azure u Office365 como cualquier usuario existente dentro de AD, independientemente de cualquier restablecimiento de contraseña o requisito de MFA.

Un objetivo candente por una razón


Los atacantes pueden acceder a Azure / Azure AD, Office365, Azure Applications y Defender Security Center abusando del token Golden SAML.
Los atacantes pueden filtrar archivos de base de datos mediante registros de proxy, NetFlow, EDR y análisis de línea de comandos. Pueden realizar movimientos laterales ADFS a través del ataque PTH.
Pueden usar herramientas de volcado de credenciales a través del registro de línea de comandos en las herramientas Sysmon o EDR. Además, pueden realizar acceso DKM usando Powershell y también falsificar solicitudes SAML.

Conclusión
El ataque reciente es complicado y se lleva a cabo con el objetivo de lograr que el certificado de firma de tokens obtenga acceso a una red objetivo específica. Por lo tanto, los expertos sugieren implementar capas adicionales de protección para los certificados SAML y, en caso de compromiso, volver a emitir certificados en ADFS dos veces y forzar la reautenticación para todos los usuarios.

Autor: Alertas de Cyware - Hacker News


Fuente https://cyware.com/news/hackers-target-golden-saml-tokens-for-network-access-35dbfad3

admin

Author admin

More posts by admin