Nieuwe aanvalstechniek geeft cybercriminelen toegang tot cloud apps

Een nieuw ontdekte aanvalstechniek geeft cybercriminelen de mogelijkheid een valse identiteit aan te nemen. Dit stelt hen in staat vrijwel alle cloud-apps die SAML ondersteunen binnen te dringen.

Hiervoor waarschuwt CyberArk Labs. Middels de techniek kunnen ze elke gebruiker nabootsen, ook die met de meeste gebruikersrechten. Dit stelt hen in staat goedgekeurde en onbeperkte toegang te verkrijgen tot een bepaalde app. Onder meer diensten cloudapps gehost op Azure, Amazon Web Services en vSphere die SAML ondersteunen zijn kwetsbaar.

Golden SAML

De methode wordt "Golden SAML" genoemd, omdat het de beruchte golden ticket-techniek nabootst die aan de basis ligt van de Mimikatz malware. Deze malware is gericht op het stelen van inloggegevens, faciliteren van laterale netwerkbewegingen en verzekeren van continue aanwezigheid in het netwerk. Golden SAML introduceert deze concepten nu binnen federated omgevingen, waardoor aanvallers er met high-privileged accounts vandoor kunnen gaan, terwijl ze een onzichtbare status houden in het netwerk of op apps van derden.

Meer informatie over Golden SAML is te vinden in een blogpost die CyberArk Labs heeft gepubliceerd.