본문 바로가기
Security & IT terms

[Day 137] Golden SAML Attack

by minimalist_2022 2020. 12. 25.

일반적인 SAML authentication process

1.  User가 원하는 서비스(e.g. AWS, Office 365)에 엑세스 시도

2.  서비스는 인증을 위해 User를 ADFS로 리다이렉트

3.  User는 Domain policy (e.g. Multi-Factor-Authentication)에 따라 ADFS로 인증

4.  ADFS는 서명된 SAML response를 user machine에게 리턴

5.  User는 원하는 서비스에 서명된 SAML response를 제시하고 엑세스 권한을 부여받음  

Figure 1: Legitimate SAML Authentication Process

 

Golden SAML Attack 절차

공격자는 우선 ADFS Server에 횡적 이동이나 권한 상승을 통해 관리자 권한을 획득해야 함

이러한 권한을 획득하면 다음 절차로 공격이 진행됨

1. 공격자는 ADFS server에 엑세스하여 개인키와 인증서 추출.

2. User가 원하는 서비스(e.g. AWS, Office 365)에 엑세스 시도

3. 서비스는 인증을 위해 공격자를 ADFS로 리다이렉트

4. 공격자는 훔친 키로 사인한 위조된 SAML response를 통해 ADFS 인증을 우회

5. 공격자는 원하는 서비스에 서명된 SAML response를 제시하고 엑세스 권한을 부여받음

Figure 2: Golden SAML Attack Process

 

 


※ 출처 : Sygnia Advisory: Detection of Golden SAML attacks

 

Sygnia Advisory: Detection of Golden SAML attacks

The SolarWinds software supply chain attack is known to have affected U.S. government agencies, critical infrastructure entities, and private sector organizations by an advanced persistent threat actor since at least March 2020. U.S. authorities now believ

www.sygnia.co