La vulnérabilité, nommée Silver SAML, peut être exploitée même si les organisations ont appliqué les recommandations de sécurité leur permettant de se défendre contre la technique d’attaque dite Golden SAML, qui a été utilisée lors de la cyberattaque lancée en 2020 contre SolarsWinds.
Ce sont les chercheurs de Semperis qui ont découvert cette nouvelle variante malveillante de la technique d’attaque utilisée lors de la violation de données subie par SolarWinds en 2020 et qui la décrive dans un billet de blog. “Silver SAML permet aux acteurs de la menace d’exploiter SAML (NDLR : Security assertion markup language, un standard définissant un protocole pour échanger des informations liées à la sécurité) pour lancer des attaques à partir d’un fournisseur d’identité tel qu’Entra ID (NDLR : ex Azure AD). Les agresseurs ont ainsi la possibilité d’attaquer des applications configurées pour utiliser SAML à des fins d’authentification, par exemple Salesforce“, explique l’équipe de recherche de Semperis.
Golden SAML a été utilisée lors de la cyberattaque lancée en 2020 contre SolarsWinds. Le groupe de menace Nobelium, aussi connu sous les surnoms Midnight Blizzard ou Cozy Bear, avait déployé du code malveillant dans Orion, le logiciel de gestion informatique de SolarWinds, contaminant ainsi plusieurs milliers d’organisations, et même le gouvernement américain. Dans le sillage de cette attaque, l’agence fédérale américaine CISA (Cybersecurity and Infrastructure Security Agency) avait exhorté les organisations exploitant des environnements d’identité hybrides à transférer l’authentification via SAML vers un système cloud de gestion des identités tel qu’Entra ID.
De l’avis de Semperis, la vulnérabilité Silver SAML présente un risque modéré pour les organisations. Cependant, tout dépend du système compromis. Si Silver SAML permet d’obtenir un accès non autorisé à des applications et des systèmes métier critiques, le risque peut alors passer au niveau grave.
Les conseils de Semperis
-Les organisations doivent utiliser uniquement des certificats Entra ID auto-signés pour les opérations de signature SAML.
-Elles doivent par ailleurs restreindre les propriétaires d’applications dans Entra ID
-Elles doivent aussi surveiller les modifications des clés des signatures SAML, tout particulièrement si la clé n’est pas sur le point d’arriver à expiration.