Хакеры злоупотребляют системами федеративной аутентификации в США

Хакеры злоупотребляют системами федеративной аутентификации в США

АНБ предупредило о методах, используемых для осуществления атак на облачную инфраструктуру.

Агентство национальной безопасности США сообщило о двух методах, которые использовались в ходе атак из скомпрометированных локальных сетей на облачную инфраструктуру. Предупреждение последовало за крупными атаками на цепочки поставок SolarWinds, в результате которых пострадало несколько правительственных агентств США и коммерческих организаций.

Хотя АНБ конкретно не упоминает взлом SolarWinds в своих сообщениях, оба метода, описанные в документе, использовались в ходе атак на SolarWinds для увеличения доступа к облачным ресурсам после первоначального взлома локальных сетей через зараженное приложение SolarWinds Orion.

«В рамках первого метода преступники взламывают локальные компоненты инфраструктуры федеративного единого входа и крадут учетные данные или закрытый ключ, который используется для подписи токенов языка разметки SAML (Security Assertion Markup Language). Используя закрытые ключи, злоумышленники затем подделывают доверенные токены аутентификации для доступа к облачным ресурсам…», — сообщается в документе.

В первом случае, если злоумышленники не могут получить ключ подписи, они попытаются получить достаточные административные привилегии в облачном клиенте, чтобы добавить вредоносный сертификат для подделки токенов SAML.

Во втором — преступники используют скомпрометированную учетную запись глобального администратора для назначения учетных данных субъектам служб облачных приложений. Затем хакеры вызывают учетные данные приложения для автоматического доступа к облачным ресурсам.

Как отметили сотрудники АНБ, ни один из этих методов не является новым и оба используются по крайней мере с 2017 года финансируемыми иностранным правительством хакерами. Ни один из методов не использует уязвимости в продуктах федеративной аутентификации, а скорее злоупотребляет легитимными функциями после взлома локальной сети или учетной записи администратора.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.