CCNet

CCNet

1. März 2024   •  3 Min. Lesezeit 

Verstärkung der Cyberabwehr: Schutzmaßnahmen gegen Golden und Silver SAML-Angriffe

Verstärkung der Cyberabwehr: Schutzmaßnahmen gegen Golden und Silver SAML-Angriffe

SAML ist ein Grundbestandteil der modernen Authentifizierung und spielt somit auch eine zentrale Rolle in der Cyberabwehr von Organisationen. Beispielsweise verlassen sich 63 Prozent der Entra ID Gallery-Anwendungen zur Integration auf SAML. Multi-Cloud-Integrationen mit Amazon Web Services (AWS), Google Cloud Platform (GCP) und anderen basieren auf SAML. Und viele Unternehmen investieren aufgrund der einfachen Implementierung weiterhin in SAML für SaaS- und LOB-Anwendungen, was eine Verstärkung ihrer Sicherheitsinfrastruktur durch gezielte Schutzmaßnahmen bedeutet.

Die Verstärkung der Sicherheitsbedrohungen, die durch Golden SAML und Silver SAML repräsentiert werden, nutzen tiefergehende technische Schwachstellen im Security Assertion Markup Language (SAML)-Single-Sign-On (SSO) Protokoll aus. Diese Angriffstechniken ermöglichen es Angreifern, Authentifizierungsmechanismen zu umgehen, indem sie SAML-Assertions manipulieren oder fälschen, was ihnen unbefugten Zugriff auf geschützte Ressourcen verschafft. Hier folgt eine detaillierte technische Betrachtung beider Techniken und der Schutzmaßnahmen, die ein integraler Bestandteil der Cyberabwehrstrategie und der Verstärkung der Sicherheitsmaßnahmen eines Unternehmens sein sollten.

Golden SAML

Kernkonzept: Golden SAML-Angriffe basieren auf dem Zugriff der Angreifer auf die Infrastruktur der Active Directory Federation Services (AD FS). Indem sie Zugriff auf den AD FS-Server erhalten, können Angreifer das Token-Signing-Zertifikat und den privaten Schlüssel extrahieren. Diese kritischen Sicherheitselemente ermöglichen es ihnen, SAML-Assertions zu signieren, die von Vertrauensdiensten (Trusted Parties) akzeptiert werden, als ob sie von einem legitimen Identitätsprovider (IdP) stammen.

Kernkonzept SAML-Angriffe

Technische Umsetzung: Nachdem ein Angreifer das Token-Signing-Zertifikat und den dazugehörigen privaten Schlüssel extrahiert hat, kann er eine SAML-Assertion für jede Identität erstellen. Dies beinhaltet die Erstellung eines Authentifizierungstokens, das Attribute wie Benutzeridentität, Berechtigungen und Rollen enthält. Da das Token mit einem legitimen Schlüssel signiert ist, kann der Angreifer sich bei jedem Service Provider (SP), der dieses IdP vertraut, als beliebiger Benutzer ausgeben.

Silver SAML: Kernkonzept: Silver SAML erweitert die Golden SAML-Angriffstechnik auf Cloud-basierte Identitätsdienste wie Microsoft Entra ID. Der Hauptunterschied besteht darin, dass Silver SAML die Verwendung von extern generierten Zertifikaten für die Signatur von SAML-Responses ausnutzt. Wenn ein Angreifer in den Besitz des privaten Schlüssels eines solchen Zertifikats kommt, kann er SAML-Responses fälschen, die von Cloud-basierten Identitätsdiensten akzeptiert werden.

Kernkonzept Silver SAML

Technische Umsetzung: Der Angriff beginnt mit dem Erhalt oder der Kompromittierung eines extern generierten Signaturzertifikats, das für die SAML-Signatur verwendet wird. Mit dem privaten Schlüssel des Zertifikats kann der Angreifer gültige SAML-Responses generieren und signieren. Diese gefälschten Responses erlauben es dem Angreifer, sich als ein legitimer Benutzer auszugeben und Zugang zu den entsprechenden Cloud-basierten Ressourcen zu erlangen.

Gegenmaßnahmen Verwendung von selbstsignierten Zertifikaten: Eine der effektivsten Gegenmaßnahmen ist die ausschließliche Verwendung von selbstsignierten Zertifikaten, die direkt von den Identitätsdiensten erstellt werden. Diese Zertifikate sind sicherer, da der private Schlüssel nie den kontrollierten Umgebungen des Dienstanbieters verlässt.

Gegenmaßnahmen für SAML-Angriffe

Strenges Management von Zertifikaten: Organisationen müssen ein strenges Management von Signaturzertifikaten implementieren. Dies beinhaltet die sichere Speicherung, die Beschränkung des Zugriffs auf die privaten Schlüssel und die regelmäßige Erneuerung von Zertifikaten.

Management von Zertifikaten

Überwachung und Alarmierung: Die Implementierung von Überwachungssystemen, die ungewöhnliche Authentifizierungsversuche erkennen und Alarme auslösen, ist entscheidend. Dies hilft, potenzielle Angriffe frühzeitig zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten.

Schulung und Bewusstsein: Die Schulung von IT-Personal und Endbenutzern über die Risiken und Anzeichen von Angriffen wie Golden und Silver SAML ist von unschätzbarem Wert. Ein fundiertes Verständnis der Bedrohungslandschaft und entsprechender Sicherheitspraktiken kann dazu beitragen, das Risiko von Sicherheitsverletzungen zu verringern.

Regelmäßige Sicherheitsaudits: Die Durchführung regelmäßiger Sicherheitsaudits und -bewertungen der Infrastruktur, einschließlich der Überprüfung der Konfiguration von Identitätsprovidern und der verwendeten Zertifikate, ist entscheidend, um potenzielle Schwachstellen zu identifizieren.

Die verborgene Bedrohung: Schwachstellen in Hardware und vernetzten Geräten

Die verborgene Bedrohung: Schwachstellen in Hardware und vernetzten Geräten

Technologie und Konnektivität sind in nahezu jedem Aspekt unseres Lebens allgegenwärtig, daher bilden Schwachstellen in Hardwareprodukten und vernetzten Geräten eine signifikante Bedrohung für die Cybersicherheit. Diese verborgene Schwachstellen unterscheiden sich grundlegend von jenen Softwareprodukten, da sie oft nicht einfach durch Patches behoben werden können. Ihre Ursachen liegen tief in der ...

CCNet

CCNet

23. Feb. 2024   •  2 Min. Lesezeit 

Die unsichtbare Bedrohung: Schwachstellen in Softwareprodukten

Die unsichtbare Bedrohung: Schwachstellen in Softwareprodukten

Schwachstellen sind in Softwareprodukten nicht nur allgegenwärtig, sondern stellen auch eine der größten Bedrohungen für die Cybersicherheit dar. Diese unsichtbaren Schwachstellen dienen oft als erste Einfallstore für Cyberkriminelle, um Systeme und ganze Netzwerke zu kompromittieren. Ihre Bedeutung kann nicht unterschätzt werden, da sie die Anonymität und Flexibilität bieten, die Angreifer ...

CCNet

CCNet

21. Feb. 2024   •  3 Min. Lesezeit 

Spam & Phishing - Die unerbittlichen Cyberbedrohungen des digitalen Zeitalters

Spam und Phishing: Die unerbittlichen Cyberbedrohungen des digitalen Zeitalter

Im digitalen Zeitalter, wo Kommunikation und Transaktionen zunehmend online stattfinden, haben Spam und Phishing einen festen Platz im Arsenal von Cyberkriminellen eingenommen. Diese unerwünschten und oft schädlichen Nachrichten sind mehr als nur ein Ärgernis; sie stellen eine ernsthafte Bedrohung für die Sicherheit und Privatsphäre von Individuen und Organisationen dar. In ...

CCNet

CCNet

19. Feb. 2024   •  2 Min. Lesezeit