RSS 云博客
关注
数据库中的“幽灵”:通过机器 DPAPI 恢复活动的 ADFS 签名密钥
"Golden SAML"技术允许攻击者在 Microsoft 环境中伪造身份断言。通过窃取 ADFS 令牌签名证书的私钥,攻击者可绕过安全控制并冒充任何用户。一种新的攻击向量已出现:在手动执行证书轮换期间,配置漂移可能导致活动签名密钥暴露于机器 DPAPI 中。这种情况发生在禁用 AutoCertificateRollover 且 ADFS 服务使用新证书但未更新 WID 配置数据库时。这会在系统中创建一个不再用于令牌签名的“幽灵”证书条目。然而,活动签名密钥仍驻留在系统范围的机器加密存储中,受机器 DPAPI 保护。成功获取该密钥可使攻击者伪造有效的 SAML 断言,从而未经授权访问 SAML 联合应用。此方法可规避针对 LSASS 和实时 ADFS 进程的典型监控。攻击者可利用此漏洞访问机器密钥存储及相关 DPAPI 工件。私钥持久化于机器范围密钥存储中,受机器 DPAPI 保护以保障运行韧性。然而,这种韧性意味着特权本地进程可恢复密钥材料。获取的密钥随后可用于伪造 SAML 断言,冒充高权限用户(如全局管理员)。防御方应监控操作系统的加密操作及身份签发。针对特定文件路径的基于 SACL 的对象访问监控可提供佐证。ADFS 令牌签发日志中的不一致性以及 Entra ID 中的联合身份监控同样至关重要。缓解措施包括将 ADFS 视为 Tier 0 基础设施,并考虑使用硬件安全模块(HSM)实现硬件背书的密钥保护。此外,对 ADFS 服务使用 gMSA 可减少因手动凭据管理导致的配置漂移。对 ADFS 服务器实施严格的 Tier 0 管理控制至关重要。