Serangan SAML Emas – Peretas APT Membajak Server Direktori Aktif

  • Whatsapp
Serangan SAML Emas - Peretas APT Membajak Server Direktori Aktif
Serangan SAML Emas Peretas APT Membajak Server Direktori Aktif
Serangan SAML Emas – Peretas APT Membajak & Mendapatkan Akses ke Server Direktori Aktif

Baru-baru ini, telah dilaporkan bahwa grup APT telah menyerang lingkungan Office 365 klien, juga mereka telah menemukan cara untuk melewati kontrol otentikasi sehingga mereka dapat sepenuhnya mengakses lingkungan server direktori.

Menurut penyelidikan, para ahli diklaim bahwa sebagian besar klien memiliki pengaturan model autentikasi hybrid atau sepenuhnya berada di cloud.

Namun, kompromi sertifikat penandatanganan token server AD FS mungkin muncul di akses ke lingkungan Azure/Office365 oleh aktor ancaman.

Tidak hanya itu, mereka juga menyatakan bahwa sertifikat ini berlaku selama satu tahun secara default, dan akan memungkinkan pelaku ancaman untuk masuk ke Azure/Office365 sebagai pengguna mana pun dalam AD meskipun ada pengaturan ulang kata sandi dan MFA.

Aliran Serangan

Setelah mendeteksi serangan ini, analis keamanan telah memulai penyelidikan yang signifikan, dan mereka mengetahui bahwa serangan ini dilakukan oleh pembajak, atau mendapatkan akses ke server AD FS.

Begitu mereka mendapatkan akses, mereka mulai memeras rahasia (token SAML) dan kemudian mereka menggunakan ini untuk mengakses lingkungan Office365 Azure AD.

Berikut adalah langkah-langkah yang diikuti oleh penyerang: –

  • Langkah 1: Penyerang mengkompromikan domain lokal
  • Langkah 2: Enumerasi
  • Langkah 3: Kumpulkan kredensial untuk akun pemilik proses AD FS
  • Langkah 4: Secara lateral pindah ke server AD FS
  • Langkah 5: Dapatkan sertifikat penandatanganan token dari server AD FS
  • Langkah 6: Mencapai DKM
  • Langkah 7: Dekripsi sertifikat penandatanganan token
  • Langkah 8: Buat token SAML

Akses yang Diperoleh dengan Menyalahgunakan Token SAML

Berikut adalah daftar hal-hal yang diakses oleh pelaku ancaman dengan menyalahgunakan token SAML:-

  • Azure / Azure AD
  • Kantor 365
  • Aplikasi Azure (yang dapat mereka buka lebih jauh)
  • Pusat Keamanan Pembela

Mekanisme Kekhawatiran

Remediasi

Namun, peneliti keamanan siber berusaha sebaik mungkin untuk mengetahui semua detail serangan ini. Namun, indikasi serangan ini adalah bahwa pelaku ancaman tetap bertahan dan memiliki motif kuat untuk masuk kembali ke lingkungan, menghindari segala macam deteksi.

Terlepas dari semua hal ini, ini adalah serangan yang cukup rumit, dan memiliki tujuan untuk mencapai sertifikat penandatanganan token serta kunci pribadi yang digunakan AD FS untuk menandakan token SAML yang diterbitkan oleh AD FS untuk otentikasi.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk keamanan siber harian dan pembaruan berita peretasan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *