RSS Блог об облаках
Подписаться
«Призрак» в базе данных: восстановление активных ключей подписи ADFS с помощью DPAPI машины
Техника "Golden SAML" позволяет злоумышленникам подделывать утверждения идентификации в средах Microsoft. Компрометируя закрытый ключ сертификата подписи токенов ADFS, злоумышленник может обойти меры безопасности и выдать себя за любого пользователя. Появился новый вектор атаки, при котором отклонение конфигурации во время ручного ротирования сертификатов может раскрыть активные ключи подписи в Machine DPAPI. Это происходит, когда AutoCertificateRollover отключен, а служба ADFS использует новый сертификат без обновления базы данных конфигурации WID.Это создает запись "призрачного" сертификата, который больше не используется для подписи токенов. Активный ключ подписи, однако, находится в криптографическом хранилище системы, ограниченном машиной, защищенном Machine DPAPI. Успешное извлечение этого ключа позволяет злоумышленникам подделывать действительные SAML-утверждения, предоставляя несанкционированный доступ к приложениям, федеративным с помощью SAML. Этот метод позволяет избежать типичного мониторинга, сосредоточенного на LSASS и активных процессах ADFS.Злоумышленники могут использовать это, получая доступ к хранилищу ключей машины и связанным с ним артефактам DPAPI. Закрытый ключ сохраняется в хранилище ключей, ограниченном машиной, защищенном Machine DPAPI для операционной устойчивости. Однако эта устойчивость означает, что привилегированный локальный процесс может восстановить ключевой материал. Извлеченный ключ затем может быть использован для подделки SAML-утверждения, выдавая себя за пользователя с высокими привилегиями, такого как глобальный администратор.Защитники должны отслеживать криптографические операции операционной системы и выдачу идентификационных данных. Мониторинг доступа к объектам на основе SACL по определенным путям к файлам может предоставить подтверждающие доказательства. Несоответствия в журналах выдачи токенов ADFS и мониторинг федеративных идентификационных данных в Entra ID также имеют решающее значение. Смягчение последствий включает в себя рассмотрение ADFS как инфраструктуры Уровня 0 и рассмотрение защиты ключей с помощью аппаратных модулей безопасности (HSM). Использование gMSA для служб ADFS также может уменьшить операционные отклонения от ручного управления учетными данными. Строгие административные элементы управления Уровнем 0 необходимы для серверов ADFS.