データベース内の「ゴースト」:マシンDPAPIを介したアクテ... ノート

データベース内の「ゴースト」:マシンDPAPIを介したアクティブなADFS署名キーの復旧

「ゴールデンSAML」技術は、攻撃者がMicrosoft環境でIDアサーションを偽造することを可能にします。ADFSトークン署名証明書の秘密鍵を侵害することにより、攻撃者はセキュリティ対策を回避し、任意のユーザーになりすますことができます。手動での証明書ローテーション中の設定ドリフトが、Machine DPAPI内でアクティブな署名鍵を露出させる新しい攻撃ベクトルが出現しました。これは、AutoCertificateRolloverが無効になっており、ADFSサービスがWID構成データベースを更新せずに新しい証明書を使用する場合に発生します。これにより、トークン署名にはもはや使用されない「ゴースト」証明書エントリが作成されます。しかし、アクティブな署名鍵は、Machine DPAPIによって保護されたシステムのコンピューター スコープの暗号化ストアに存在します。この鍵を正常に取得すると、攻撃者は有効なSAMLアサーションを偽造し、SAMLフェデレーションアプリケーションへの不正アクセスを許可できます。この方法は、LSASSとライブADFSプロセスに焦点を当てた通常の監視を回避します。攻撃者は、コンピューター鍵ストアと関連するDPAPIアーティファクトにアクセスすることで、これを悪用できます。秘密鍵は、運用上の回復力のためにMachine DPAPIによって保護されたコンピューター スコープの鍵ストアに永続化されます。しかし、この回復力は、特権を持つローカルプロセスが鍵マテリアルを回復できることを意味します。取得した鍵は、グローバル管理者のような高特権ユーザーになりすまして、SAMLアサーションを偽造するために使用できます。防御者は、オペレーティングシステムの暗号化操作とID発行を監視する必要があります。特定のファイルパスに対するSACLベースのオブジェクトアクセス監視は、サポート証拠を提供できます。ADFSトークン発行ログの不整合とEntra IDのフェデレーションID監視も重要です。緩和策には、ADFSをティア0インフラストラクチャとして扱い、ハードウェアセキュリティモジュールによるハードウェアベースの鍵保護を検討することが含まれます。ADFSサービスにgMSAを使用することも、手動の資格情報管理からの運用ドリフトを減らすことができます。ADFSサーバーには、厳格なティア0管理制御が不可欠です。
CdXz5zHNQW_pnUJepHCMM.png