La nuova minaccia contro le app del cloud computing si chiama Golden SAML , un attacco che in realtà è una variante di un attacco precedente e ha lo stesso obiettivo: permettere ai cyber-criminali di falsificare le autenticazioni degli utenti ai servizi ospitati sui server remoti .
Golden SAML è infatti un nome derivato da “Golden Ticket”, minaccia anche nota come Pass-the-Ticket e in grado di abusare di un server Kerberos compromesso per creare token di autenticazione a quelle applicazioni che fanno uso del suddetto server a scopo di autenticazione.
Ma Golden SAML non prende di mira i servizi Kerberos bensì quelli basati su SAML 2.0 , un protocollo open per lo scambio di credenziali di accesso tra diverse parti che fa uso del linguaggio a markup XML.
Per portare a compimento un attacco Golden SAML, i cyber-criminali devono prima trovare il modo di compromettere il controller di dominio di un’azienda per poi estrarre le chiavi private usate per la generazione dei token di autenticazione degli utenti finali.
Una volta raggiunti questi due risultati, i criminali possono usare un tool come quello ideato dai ricercatori per impersonare il provider di identità originario , creando appunto “golden ticket” con cui autenticarsi nella maniera che preferiscono alle app e ai servizi che fanno affidamento sull’infrastruttura.
Una volta compromesse le chiavi private, spiegano i ricercatori, un attacco Golden SAML può essere condotto da qualsiasi location e continuerà a far sentire il proprio effetto finché le suddette chiavi non verranno invalidate. Una procedura che andrebbe effettuata con regolarità per ridurre al minimo la superficie di attacco, consigliano gli esperti.
Alfonso Maruccia