Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры злоупотребляют системами федеративной аутентификации в США

22/12/20

АНБ-3

Агентство национальной безопасности США сообщило о двух методах, которые использовались в ходе атак из скомпрометированных локальных сетей на облачную инфраструктуру. Предупреждение последовало за крупными атаками на цепочки поставок SolarWinds, в результате которых пострадало несколько правительственных агентств США и коммерческих организаций.

Хотя АНБ конкретно не упоминает взлом SolarWinds в своих сообщениях, оба метода, описанные в документе, использовались в ходе атак на SolarWinds для увеличения доступа к облачным ресурсам после первоначального взлома локальных сетей через зараженное приложение SolarWinds Orion.

«В рамках первого метода преступники взламывают локальные компоненты инфраструктуры федеративного единого входа и крадут учетные данные или закрытый ключ, который используется для подписи токенов языка разметки SAML (Security Assertion Markup Language). Используя закрытые ключи, злоумышленники затем подделывают доверенные токены аутентификации для доступа к облачным ресурсам…», — сообщается в документе.

В первом случае, если злоумышленники не могут получить ключ подписи, они попытаются получить достаточные административные привилегии в облачном клиенте, чтобы добавить вредоносный сертификат для подделки токенов SAML.

Во втором — преступники используют скомпрометированную учетную запись глобального администратора для назначения учетных данных субъектам служб облачных приложений. Затем хакеры вызывают учетные данные приложения для автоматического доступа к облачным ресурсам.

Как отметили сотрудники АНБ, ни один из этих методов не является новым и оба используются по крайней мере с 2017 года финансируемыми иностранным правительством хакерами. Ни один из методов не использует уязвимости в продуктах федеративной аутентификации, а скорее злоупотребляет легитимными функциями после взлома локальной сети или учетной записи администратора.

Темы:СШААНБУгрозыКиберугрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...