News
Les chercheurs de Semperis découvrent une nouvelle variante malveillante de la technique d’attaque utilisée lors de la violation de données subie par SolarWinds en 2020
mars 2024 par Semperis
Semperis annonce que son équipe de recherche en sécurité a découvert une nouvelle variante de la célèbre technique d’attaque dite Golden SAML, qu’ils ont nommée Silver SAML. Silver SAML permet aux acteurs de la menace d’exploiter SAML pour lancer des attaques à partir d’un fournisseur d’identité tel que Entra ID. Les agresseurs ont ainsi la possibilité d’attaquer des applications configurées pour utiliser SAML à des fins d’authentification, par exemple Salesforce.
Golden SAML a été utilisée lors de la cyberattaque lancée en 2020 contre SolarsWinds : il s’agit du piratage le plus sophistiqué de tous les temps à avoir été mené par un État-Nation. Le groupe de menace Nobelium, aussi connu sous les surnoms Midnight Blizzard ou Cozy Bear, avait déployé du code malveillant dans Orion, le logiciel de gestion informatique de SolarWinds,contaminant ainsi plusieurs milliers d’organisations, et même le gouvernement américain . Dans le sillage de cette attaque, l’agence fédérale américaine CISA (Cybersecurity and Infrastructure Security Agency) avait exhorté les organisations exploitant des environnements d’identité hybrides à transférer l’authentification via SAML vers un système cloud de gestion des identités tel qu’Entra ID.
La protection contre les attaques Silver SAML
Pour se prémunir efficacement contre les attaques Silver SAML dans Entra ID, les organisations doivent utiliser uniquement des certificats Entra ID auto-signés pour les opérations de signature SAML. Elles doivent par ailleurs restreindre les propriétaires d’applications dans Entra ID. Elles doivent aussi surveiller les modifications des clés des signatures SAML, tout particulièrement si la clé n’est pas sur le point d’arriver à expiration.
« Dans la période de consternation qui a suivi la cyberattaque contre SolarWinds, Microsoft et d’autres acteurs, dont la CISA, ont alors affirmé qu’Entra ID (qui s’appelait alors Azure AD) protégeait les utilisateurs contre la falsification des réponses SAML par Golden SAML. Malheureusement, il convient de nuancer davantage cette revendication de protection totale contre ces types d’attaques. Il suffit qu’une organisation transpose dans Entra ID certaines mauvaises pratiques de gestion des certificats héritées d’Active Directory Federation Services. Dans ce cas, les applications de leur environnement restent vulnérables à la falsification des réponses SAML. C’est une nouvelle variante à laquelle nous avons donné le nom de « Silver SAML », explique Eric Woodruff, chercheur chez Semperis.
De l’avis de Semperis, la vulnérabilité Silver SAML présente un risque MODÉRÉ pour les organisations. Cependant, tout dépend du système compromis. Si Silver SAML permet d’obtenir un accès non autorisé à des applications et des systèmes métier critiques, le risque peut alors passer au niveau GRAVE.
