Se ha descubierto una nueva técnica de ataque cibernético conocida como Silver SAML, que permite a los atacantes explotar las vulnerabilidades del estándar de autenticación interoperable SAML para suplantar identidades y acceder a servicios con privilegios en una organización.
Este nuevo método es una variante de Golden SAML, otro vector de ataque que fue descubierto en 2017. A diferencia de Golden SAML, Silver SAML funciona con proveedores de identidad como Microsoft Entra ID y no requiere acceso a Active Directory Federation Services (AD FS). Se considera una amenaza de gravedad moderada para las organizaciones, pero se recomienda que las empresas eviten el uso de certificados que no sean autofirmados de Entra ID para fines de firma SAML.
La técnica de Silver SAML ha sido divulgada a Microsoft y se espera que la compañía tome medidas para proteger a sus clientes. Aunque no se han registrado ataques utilizando esta técnica, los investigadores en ciberseguridad están alentando a las organizaciones a monitorear los registros de auditoría de Entra ID en busca de cualquier cambio en PreferredTokenSigningKeyThumbprint en ApplicationManagement, lo que podría indicar una suplantación de identidad.
Semperis ha puesto a disposición una prueba de concepto (PoC) llamada SilverSAMLForger para crear respuestas SAML personalizadas y permitir que los expertos en seguridad prueben sus sistemas contra este tipo de ataque.
Es importante que las organizaciones estén al tanto de las amenazas de ciberseguridad y tomen medidas para proteger sus sistemas. Al utilizar certificados autofirmados de Entra ID para fines de firma SAML y monitorear los registros de auditoría en busca de cambios sospechosos, las empresas pueden reducir el riesgo de un ataque exitoso utilizando Silver SAML o cualquier otra variante de SAML.
Vía The Hacker News
