Golden SAML fait des petits. La technique d’attaque qui avait été utilisée en 2020 pour mettre à genoux un large panel de clients de Solarwinds, dont le gouvernement américain, vient de se trouver une héritière qui, reposant sur les mêmes principes, arrive au même résultat. C’est Silver SAML. Identifiée par les équipes de chercheurs de Semperis, la technique permet aux acteurs malveillants d’exploiter SAML pour lancer des attaques à partir d’un fournisseur d’identité tel que Entra ID. Les agresseurs ont ainsi la possibilité d’attaquer des applications configurées pour utiliser SAML à des fins d’authentification, par exemple Salesforce.
Pour rappel, c’était justement l’agence fédérale américaine CISA (Cybersecurity and Infrastructure Security Agency) qui avait exhorté les organisations exploitant des environnements d’identité hybrides à transférer l’authentification via SAML vers un système cloud de gestion des identités tel qu’Entra ID, suite à l’attaque de Solarwinds.
Pour se prémunir efficacement contre les attaques Silver SAML dans Entra ID, Semperis recommande d’utiliser uniquement des certificats Entra ID auto-signés pour les opérations de signature SAML. Elles doivent par ailleurs restreindre les propriétaires d’applications dans Entra ID et porter une attention toute particulière aux modifications des clés des signatures SAML, tout particulièrement si la clé n’est pas sur le point d’arriver à expiration.