Semperis : Silver SAML, une variante de l’attaque Golden SAML

Semperis vient de dévoiler une nouvelle attaque : Silver SAML. Il s’agit d’une variante de Golden SAML. Elle s’attaque aux fournisseurs d’identité tel que Entra ID. SAML est un protocole d'identité largement utilisé.

Golden SAML a été utilisée en 2020 contre SolarsWinds. Le groupe Nobelium, aussi connu sous les noms de Midnight Blizzard ou Cozy Bear, avait déployé du code malveillant dans Orion de SolarWinds contaminant ainsi plusieurs milliers d’entreprises, et même le gouvernement américain . L’agence fédérale américaine CISA (Cybersecurity and Infrastructure Security Agency) avait exhorté les organisations exploitant des environnements d’identité hybrides à transférer l’authentification via SAML vers un système cloud de gestion des identités tel qu’Entra ID.

Pour se prémunir efficacement contre les attaques Silver SAML dans Entra ID, les entreprises doivent utiliser uniquement des certificats Entra ID auto-signés pour les opérations de signature SAML. Elles doivent restreindre les propriétaires d’applications dans Entra ID. Elles doivent aussi surveiller les modifications des clés des signatures SAML, tout particulièrement si la clé n’est pas sur le point d’arriver à expiration.

Selon Semperis, Silver SAML est un risque modéré bien que cela dépend de la robustesse des environnements déployés. 

Pour en savoir plus : https://www.semperis.com/blog/meet-silver-saml