T1606.002: Токены SAML
Злоумышленник может подделать токены SAML с любыми разрешениями и сроками действия, если у него есть действительный сертификат для их подписи. По умолчанию срок действия токена SAML составляет один час, но его можно указать в значении NotOnOrAfter
элемента conditions ...
токена. Значение можно изменить с помощью параметра AccessTokenLifetime
в политике LifetimeTokenPolicy
. Поддельные токены SAML позволяют злоумышленникам аутентифицироваться в сервисах, которые используют SAML 2.0 в качестве механизма единого входа (SSO).
Злоумышленник может использовать закрытые ключи, чтобы скомпрометировать сертификат подписи и создавать поддельные токены SAML от имени организации. Если злоумышленник имеет достаточные права для установления нового федеративного отношения доверия со своим сервером служб федерации Active Directory (AD FS), он может создать собственный доверенный сертификат для подписи токенов. Эта техника отличается от кражи токена доступа к приложению и других подобных методов тем, что злоумышленник сам создает токены, а не похищает или перехватывает их у легитимных пользователей.
Злоумышленник может получить административные привилегии в Azure AD, подделав токен SAML, который идентифицирует его как пользователя с высокими привилегиями. В результате у злоумышленника может появиться возможность использования альтернативных сущностей для аутентификации, позволяющая обойти многофакторную аутентификацию и другие механизмы защиты.
Способы обнаружения
ID | DS0006 | Источник и компонент данных | Учетные данные для веб-ресурсов: Создание учетных данных для веб-ресурсов | Описание | Monitor for creation of access tokens using SAML tokens which do not have corresponding 4769 and 1200 events in the domain. |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Метаданные сеанса входа в систему | Описание | Consider modifying SAML responses to include custom elements for each service provider. Monitor these custom elements in service provider access logs to detect any anomalous requests. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | This search looks for arguments to certutil.exe indicating the manipulation or extraction of Certificate. This certificate can then be used to sign new authentication tokens specially inside Federated environments such as Windows ADFS. Analytic 1 - Certutil.exe Certificate Extraction
|
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Monitor for user authentication attempts, when requesting access tokens to services, that failed because of Conditional Access Policies (CAP). Some SAML tokens features, such as the location of a user, may not be as easy to claim. |
---|
ID | DS0006 | Источник и компонент данных | Учетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсов | Описание | Monitor for the use of access tokens to access services such as email that were created using SAML tokens which do not have corresponding 1202 events (i.e. “The Federation Service validated a new credential”) in the domain. |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Monitor for logins using SAML tokens which do not have corresponding 4769 and 1200 events in the domain. These logins may occur on any on-premises resources as well as from any cloud environment that trusts the certificate. |
---|
Меры противодействия
ID | M1015 | Название | Конфигурация Active Directory | Описание | For containing the impact of a previously forged SAML token, rotate the token-signing AD FS certificate in rapid succession twice, which will invalidate any tokens generated using the previous certificate. |
---|
ID | M1047 | Название | Аудит | Описание | Enable advanced auditing on AD FS. Check the success and failure audit options in the AD FS Management snap-in. Enable Audit Application Generated events on the AD FS farm via Group Policy Object. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Ensure that user accounts with administrative rights follow best practices, including use of privileged access workstations, Just in Time/Just Enough Administration (JIT/JEA), and strong authentication. Reduce the number of users that are members of highly privileged Directory Roles. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Restrict permissions and access to the AD FS server to only originate from privileged access workstations. |
---|