데이터베이스 속 '유령': 머신 DPAPI를 통한 활성... 노트

데이터베이스 속 '유령': 머신 DPAPI를 통한 활성 ADFS 서명 키 복구

"골든 SAML(Golden SAML)" 기법은 공격자가 Microsoft 환경에서 신원 정보를 위조할 수 있도록 합니다. ADFS 토큰 서명 인증서의 개인 키를 손상시키면 공격자는 보안 조치를 우회하고 모든 사용자를 사칭할 수 있습니다. 수동 인증서 로테이션 중 구성 드리프트가 Machine DPAPI에서 활성 서명 키를 노출할 수 있는 새로운 공격 벡터가 등장했습니다. 이는 AutoCertificateRollover가 비활성화되고 ADFS 서비스가 WID 구성 데이터베이스를 업데이트하지 않고 새 인증서를 사용하는 경우 발생합니다.이로 인해 더 이상 토큰 서명에 사용되지 않는 "유령" 인증서 항목이 생성됩니다. 그러나 활성 서명 키는 Machine DPAPI로 보호되는 시스템의 컴퓨터 범위 암호화 저장소에 상주합니다. 이 키를 성공적으로 검색하면 공격자는 유효한 SAML 어설션을 위조하여 SAML 연합 애플리케이션에 대한 무단 액세스를 허용할 수 있습니다. 이 방법은 LSASS 및 라이브 ADFS 프로세스에 초점을 맞춘 일반적인 모니터링을 회피합니다.공격자는 컴퓨터 키 저장소 및 관련 DPAPI 아티팩트에 액세스하여 이를 악용할 수 있습니다. 개인 키는 운영 복원력을 위해 Machine DPAPI로 보호되는 컴퓨터 범위 키 저장소에 영구 저장됩니다. 그러나 이러한 복원력은 권한 있는 로컬 프로세스가 키 자료를 복구할 수 있음을 의미합니다. 검색된 키는 SAML 어설션을 위조하는 데 사용되어 전역 관리자와 같은 높은 권한을 가진 사용자를 사칭할 수 있습니다.방어자는 운영 체제 암호화 작업 및 신원 발급을 모니터링해야 합니다. 특정 파일 경로에 대한 SACL 기반 개체 액세스 모니터링은 지원 증거를 제공할 수 있습니다. ADFS 토큰 발급 로그의 불일치와 Entra ID의 연합 ID 모니터링도 중요합니다. 완화 조치에는 ADFS를 Tier 0 인프라로 취급하고 하드웨어 보안 모듈을 사용한 하드웨어 기반 키 보호를 고려하는 것이 포함됩니다. ADFS 서비스에 gMSA를 사용하면 수동 자격 증명 관리로 인한 운영 드리프트를 줄일 수도 있습니다. ADFS 서버에 대한 엄격한 Tier 0 관리 제어가 필수적입니다."
CdXz5zHNQW_pnUJepHCMM.png