מערך הסייבר: ניצול מנגנוני אימות למתקפות - שיטות פעולה ואמצעי התמודדות

מערך הסייבר הלאומי: ניצול מנגנוני אימות למתקפות - שיטות פעולה ואמצעי התמודדות
מאת: מערכת Telecom News, 22.12.20, 17:06

הסוכנות האמריקאית לביטחון לאומי (NSA) פרסמה התרעת אבטחה העוסקת בניצול מנגנוני אימות ע"י תוקפים להשגת נגישות למשאבי ענן. ההתרעה מתמקדת ב-2 שיטות פעולה (TTPs) העלולות לאפשר לתוקפים גישה למשאבי הענן הארגוניים, במקרים רבים תוך התמקדות בתשתיות דוא"ל ארגוניות.
     
2 שיטות התקיפה אפשריות עבור תוקף, שכבר השיג אחיזה ראשונית ברשת הארגונית.

בשיטה הראשונה, התוקפים משיגים נגישות לרכיבים של תשתית SSO (Single Sign On – תשתית המאפשרת הזדהות חד-פעמית וגישה לשאר מערכות הארגון בהסתמך על הזדהות ראשונית זו), וגונבים את התעודה או המפתח הפרטי המשמשים לחתימת SAML tokens. באמצעות המפתח, התוקפים מזייפים קודי אימות (tokens) אמינים כדי לגשת למשאבי הענן. שיטה זו מוכרת ומנוצלת ע"י קבוצות תקיפה לפחות החל מ-2017. ה-NSA פרסם התרעה אודות ניצול חולשות ב-VMware Access וב-VMware Identity, שמאפשרות לתוקפים לפעול בשיטה המתוארת ולנצל את תשתית ה-SSO.

בווריאציה על שיטה זו, אם התוקפים לא מצליחים להשיג את המפתחות הפרטיים במערכות הארגוניות, הם עלולים לתקוף את מערכות הארגון בענן כדי להשיג הרשאות מנהלן ולהוסיף תעודה דיגיטלית זדונית, שתאפשר להם לזייף SAML Tokens.

בשיטה השנייה, התוקפים משתמשים בחשבון מנהלן פרוץ כדי ליצור נתוני הזדהות ל-service principals ביישומי ענן (זהויות המאפשרות ליישומי ענן גישה למשאבי ענן אחרים). לאחר מכן, התוקפים משתמשים בנתוני גישה אלה לגישה אוטומטית למשאבי הענן, כולל משאבים, שהיה קשה לתוקפים להשיג אליהם גישה באופן אחר, או שהגישה אליהם הייתה עלולה להתפרש כחשודה.

תקיפות אלו לכשעצמן אינן מייצגות פגיעויות בעקרונות התכנון של מערכות זיהוי אחודות, או בפרוטוקול SAML, ובשירותי הזדהות רשתיים או מבוססי ענן. מנגנונים אלה מבוססים על אמון (Trust) בתקינותם של הרכיבים המבצעים הזדהות, מקצים הרשאות, וחותמים על SAML Tokens. אם אחד מרכיבים אלה מותקף ונפרץ, הרי שאמון זה אינו מוצדק ותוקף יכול לנצל הרכיב לגישה בלתי מורשית.

ADFS (Active Directory Federation Services), היא אחת ממערכות ההזדהות האחודות הנפוצות ביותר, ונמצאת בשימוש מערכות רבות של יצרנים שונים. בשל נפיצותה של מערכת זו, היא משמשת מטרה לתוקפים רבים, כדי להשיג גישה למערכות ענן שונות, ובפרט ל-Office365. לאחר השגת הגישה, התוקפים מנטרים או גונבים מסמכים והודעות של הארגון המותקף.

על פי דיווחים שונים, באירוע SolarWinds בוצעה תקיפה בסגנון זה כנגד מערכות הזדהות אחודות.

דרכי התמודדות:
מומלץ להקשיח את תצורת ה-SSO של תשתיות ענן, ואת השימוש ב-service principal.
מומלץ להקשיח את המערכות המפעילות תשתיות ל-on-premises identity ולשירותי הזדהות אחודים (federation services).
ניתן למצוא המלצות ספציפיות להקשחת סביבת Azure במסמך של ה-NSA.
מומלץ לחייב שימוש בהזדהות חזקה (Multi Factor Authentication) במערכות SSO.
מומלץ מאד לבחון שימוש בציוד HSM (Hardware Security Module) לאחסון מפתחות פרטיים המשמשים לחתימה על Tokens.
ניטור השימוש ב-SSO tokens וב-service principals בתשתיות ענן עשוי לסייע לזיהוי חדירה לשירותי הזדהות identity services.