T1606.002: Токены SAML

Злоумышленник может подделать токены SAML с любыми разрешениями и сроками действия, если у него есть действительный сертификат для их подписи. По умолчанию срок действия токена SAML составляет один час, но его можно указать в значении NotOnOrAfter элемента conditions ... токена. Значение можно изменить с помощью параметра AccessTokenLifetime в политике LifetimeTokenPolicy. Поддельные токены SAML позволяют злоумышленникам аутентифицироваться в сервисах, которые используют SAML 2.0 в качестве механизма единого входа (SSO).

Злоумышленник может использовать закрытые ключи, чтобы скомпрометировать сертификат подписи и создавать поддельные токены SAML от имени организации. Если злоумышленник имеет достаточные права для установления нового федеративного отношения доверия со своим сервером служб федерации Active Directory (AD FS), он может создать собственный доверенный сертификат для подписи токенов. Эта техника отличается от кражи токена доступа к приложению и других подобных методов тем, что злоумышленник сам создает токены, а не похищает или перехватывает их у легитимных пользователей.

Злоумышленник может получить административные привилегии в Azure AD, подделав токен SAML, который идентифицирует его как пользователя с высокими привилегиями. В результате у злоумышленника может появиться возможность использования альтернативных сущностей для аутентификации, позволяющая обойти многофакторную аутентификацию и другие механизмы защиты.

Способы обнаружения

IDDS0006Источник и компонент данныхУчетные данные для веб-ресурсов: Создание учетных данных для веб-ресурсовОписание

Monitor for creation of access tokens using SAML tokens which do not have corresponding 4769 and 1200 events in the domain.

IDDS0028Источник и компонент данныхСеанс входа в систему: Метаданные сеанса входа в системуОписание

Consider modifying SAML responses to include custom elements for each service provider. Monitor these custom elements in service provider access logs to detect any anomalous requests.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

This search looks for arguments to certutil.exe indicating the manipulation or extraction of Certificate. This certificate can then be used to sign new authentication tokens specially inside Federated environments such as Windows ADFS.

Analytic 1 - Certutil.exe Certificate Extraction

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND Image= "C:\Windows\System32\certutil.exe" AND CommandLine= " -exportPFX *")

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Monitor for user authentication attempts, when requesting access tokens to services, that failed because of Conditional Access Policies (CAP). Some SAML tokens features, such as the location of a user, may not be as easy to claim.

IDDS0006Источник и компонент данныхУчетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсовОписание

Monitor for the use of access tokens to access services such as email that were created using SAML tokens which do not have corresponding 1202 events (i.e. “The Federation Service validated a new credential”) in the domain.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Monitor for logins using SAML tokens which do not have corresponding 4769 and 1200 events in the domain. These logins may occur on any on-premises resources as well as from any cloud environment that trusts the certificate.

Меры противодействия

IDM1015НазваниеКонфигурация Active DirectoryОписание

For containing the impact of a previously forged SAML token, rotate the token-signing AD FS certificate in rapid succession twice, which will invalidate any tokens generated using the previous certificate.

IDM1047НазваниеАудитОписание

Enable advanced auditing on AD FS. Check the success and failure audit options in the AD FS Management snap-in. Enable Audit Application Generated events on the AD FS farm via Group Policy Object.

IDM1018НазваниеУправление учетными записямиОписание

Ensure that user accounts with administrative rights follow best practices, including use of privileged access workstations, Just in Time/Just Enough Administration (JIT/JEA), and strong authentication. Reduce the number of users that are members of highly privileged Directory Roles.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Restrict permissions and access to the AD FS server to only originate from privileged access workstations.