Silver SAML: Neue Variante der Solarwinds-Angriffstechnik von 2020

Illustration Absmeier foto freepik

Die neu entdeckte Silver-SAML-Schwachstelle kann selbst dann ausgenutzt werden, wenn Unternehmen die Sicherheitsempfehlungen zum Schutz vor Golden SAML befolgt haben.

 

Die Sicherheitsforscher von Semperis, einem Anbieter auf dem Gebiet identitätsgesteuerter Cyberresilienz, hat eine neue Variante der berüchtigten Golden SAML-Angriffstechnik, der das Team den Namen »Silver SAML« gegeben hat, entdeckt. Mit Silver SAML können Bedrohungsakteure das Authentifizierungsprotokoll SAML (Security Assertion Markup Language) missbrauchen, um von einem Identitätsanbieter wie Entra ID aus Angriffe auf Anwendungen zu starten, die SAML für die Authentifizierung nutzen, wie beispielsweise Salesforce.

Golden SAML wurde bei dem Cyberangriff auf Solarwinds im Jahr 2020 verwendet, dem bislang raffiniertesten nationalstaatlichen Hack der Geschichte. Die Hackergruppe Nobelium, auch bekannt als Midnight Blizzard oder Cozy Bear, hat bösartigen Code in die IT-Management-Software Orion von Solarwinds eingeschleust und damit Tausende von Unternehmen, darunter auch die US-Regierung, infiziert. Nach diesem Angriff empfahl die Cybersecurity Infrastructure Security Agency (CISA) Organisationen mit hybriden Identitätsumgebungen, die SAML-Authentifizierung auf ein Cloud-Identitätssystem wie Entra ID umzustellen.

 

Schutz vor Silver SAML-Angriffen

Um sich effektiv gegen Silver SAML-Angriffe in Entra ID zu schützen, sollten Organisationen nur selbstsignierte Entra ID-Zertifikate für die SAML-Signierung verwenden. Organisationen sollten auch die Eigentumsrechte an Anwendungen in Entra ID einschränken. Außerdem sollten sie auf Änderungen an SAML-Signierschlüsseln achten, vor allem, wenn der Schlüssel nicht demnächst abläuft.

»Nach dem Cyberangriff auf Solarwinds erklärten Microsoft und andere, darunter auch die CISA, dass die Umstellung auf Entra ID (damals Azure AD) vor der Fälschung von SAML-Antworten, auch bekannt als Golden SAML, schützen würde. Leider ist der vollständige Schutz vor dieser Art von Angriffen differenzierter – wenn Unternehmen bestimmte Praktiken der Zertifikatsverwaltung von Active Directory Federation Services auf Entra ID übertragen, sind die Anwendungen in ihrem Bestand immer noch anfällig für SAML-Antwortfälschungen, die wir als Silver SAML bezeichnen«, so Eric Woodruff, Forscher bei Semperis.

Die Semperis-Forscher stufen die Silver SAML-Schwachstelle als ein mäßiges Risiko für Unternehmen ein. Sollte Silver SAML jedoch dazu verwendet werden, sich unbefugten Zugang zu geschäftskritischen Anwendungen und Systemen zu verschaffen, könnte das Risiko je nach dem angegriffenen System auf ein schweres Niveau ansteigen.

Weitere Informationen zur Silver SAML-Schwachstelle bietet Semperis in einem aktuellen Blogartikel: https://www.semperis.com/blog/meet-silver-saml

 

225 Artikel zu „solarwinds“

Der Emotet-Erfolg und der SolarWinds-Angriff: Der Security-Wettlauf geht weiter

Cybersecurity ist immer ein Wettlauf: Mal haben die »Guten« die Nase vorn, dann wieder die »Bösen«. Vor Kurzem konnten Ermittler einen spektakulären Erfolg feiern und die Infrastruktur des Emotet-Botnetzes zerschlagen. Das BKA und die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) hatten die groß angelegte, internationale Aktion gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen,…

IT-Sicherheit neu denken: Was uns der SolarWinds-Hack lehrt

Das ganze Ausmaß des SolarWinds-Hacks ist noch nicht absehbar und auch über die Motive der Angreifer wird noch gerätselt. Eine wichtige Lehre aus dem Fall ist aber jetzt schon glasklar: Wir müssen IT-Sicherheit neu denken.   Es ist ein Cyberangriff von einem neuen Ausmaß. Die Attacke auf das US-amerikanische IT-Unternehmen SolarWinds hält Behörden und Unternehmen…

Nur ein Fünftel der IT-Experten versteht die Funktionsweise von KI-Tools vollständig

Die Mehrheit der IT-Experten ist der Meinung, dass KI ihr Leben einfacher machen könnte, aber die meisten nutzen sie noch nicht. Obwohl künstliche Intelligenz (KI) im Jahr 2023 neue Dimensionen erreichte, gibt laut einer neuen Studie von SolarWinds nur ein Fünftel (22 Prozent) der befragten IT-Experten an, die Funktionsweise von KI-Tools vollständig zu verstehen [1].…

Enterprise-IT-Trends 2024: Observability, Datenbankprobleme, AIOps

Unternehmen werden erweiterte künstliche Intelligenz und Automatisierungsfunktionen nutzen, um Transparenz, Wachstum und Produktivität zu steigern.   SolarWinds veröffentlicht seine Prognosen für die IT-Trends und ‑Themen, die das kommende Jahr prägen werden. 2024 werden Unternehmen mit großer Wahrscheinlichkeit noch stärker auf künstliche Intelligenz (KI), maschinelles Lernen (ML) und Automatisierung setzen, um ihre Ziele für Effizienz, Servicebereitstellung…

US-Börsenaufsicht verklagt CISO

Die US-Börsenaufsicht SEC (Security and Exchange Comission) hat Klage gegen den CISO des Unternehmens SolarWinds erhoben und damit für ein mittelstarkes Erdbeben in IT-Security-Kreisen gesorgt. Die Sachlage scheint dabei relativ klar. Das Echo der Industrie ist dagegen bemerkenswert und rein theoretisch ist eine solche Klage auch in Deutschland möglich. Und damit hat dieser Fall auch…

IT Service Management steigert Produktivität, Innovation und IT-Ergebnisse

SolarWinds hat am 24. Oktober 2024 einen Report über die positiven Auswirkungen von IT Service Management (ITSM) auf die Verbesserung von IT-Ergebnissen, Servicebereitstellung und Mitarbeiterzufriedenheit veröffentlicht.   Die wachsende Komplexität der modernen verteilten, hybriden Multi-Cloud-IT-Umgebungen ist eine der größten Herausforderungen, vor denen Unternehmen bei der digitalen Transformation stehen. Unternehmen wenden sich zunehmend an ihre IT-Abteilungen,…

Cyberangriffe auf die Lieferkette: Best Practices gegen Supply-Chain-Attacken

Schon immer suchten Angreifer das schwächste Glied in der Kette, um eine Abwehr zu durchbrechen. Das hat sich auch in der heutigen, hochgradig digitalisierten Wirtschaftswelt nicht geändert und schließt auch die Lieferkette der Zulieferindustrie mit ein. Oft haben Lieferanten Zugriff auf interne Systeme ihrer Kunden und ein Hack auf scheinbar bedeutungslose Zulieferer kann für Hackergruppen…

IT-Trends im Jahr 2023

  Inflation: Treiber für Cybersecurity-Risiken Zwar ist die derzeit grassierende Inflation nicht das wichtigste, aber derzeit das zweifelsohne meistdiskutierteste Thema in der Öffentlichkeit, wenn es um Prognosen für das nächste Jahr geht. Die aktuelle Preissteigerung hat jedoch nicht nur Auswirkungen auf die Geldbeutel der Verbraucher und die Budgets von Unternehmen. Häufig wenig beachtet sind die…

Sieben IT-Sicherheitstrends für 2023

Das Jahr 2022 war geprägt von globalen Krisen. Allem voran der russische Angriffskrieg gegen die Ukraine hat die europäische Gemeinschaft ins Wanken gebracht. Die Folgen: Rohstoffverknappungen sowie soziale und wirtschaftliche Spannungen. Zudem stieg die Anzahl erfolgreicher Cyberangriffe an. Immer häufiger wurden Unternehmen der kritischen Infrastruktur sowie Politikerinnen und Politiker Ziel von gezielten Cyberattacken. Auch im…

IT-Trends und Monitoring 2023

2022 neigt sich dem Ende zu, und es ist wieder einmal an der Zeit für den alljährlichen Trend-Check: Wie haben sich die Trends des letzten Jahres entwickelt, was sind im Moment die großen Themen, und was steht vor der Tür. Als »Market Expert« bei einem Monitoring-Unternehmen liegt es dabei in der Natur der Dinge, dass…

Arbeitsmarktsituation im Technikbereich angesichts des Fachkräftemangels

Zwei Drittel der IT-Experten blicken trotz des möglichen wirtschaftlichen Abschwungs zuversichtlich auf ihre berufliche Laufbahn; doch nur die Hälfte glaubt, dass ihr Unternehmen inmitten der Welle freiwilliger Kündigungen mit genügend Personal ausgestattet ist.   SolarWinds stellt die Ergebnisse seiner neuen Umfrage zur Arbeitsmarktsituation in der Technikbranche angesichts von Fachkräftemangel und Schwierigkeiten bei der Stellenbesetzung vor.…