in

Un nuevo enfoque para proteger los sistemas de autenticación …



Los investigadores de Black Hat USA explican preguntas sobre la defensa de los “secretos dorados” y presentan una solución.

BLACK HAT USA 2021: los grupos de amenazas persistentes avanzadas (APT) han buscado durante mucho tiempo credenciales para moverse hacia los lados y permanecer en las redes objetivo. Los abogados defensores han intentado mitigar el riesgo con la autenticación multifactor (MFA), que es eficaz en la mayoría de los casos pero no puede proteger los datos más lucrativos.

Esta fue la esencia del informe de Black Hat USA «MFA-ing the Un-MFA-ble: Protecting Auth Systems ‘Core Secrets» presentado hoy por el CTO de ZenGo Tal Be’ery y el investigador de criptografía Matan Hamilis, quien presentó un nuevo enfoque de protección de. demostró los «secretos de oro» en el núcleo de la mayoría de los sistemas de autenticación de hoy en día.

Estos secretos, como KRBTGT para Kerberos o una clave privada para Security Assertion Markup Language (SAML), se utilizan para asegurar criptográficamente la provisión de tokens de acceso y para proteger su integridad. Esto los convierte en un objetivo candente para los atacantes: si uno de estos secretos es robado, el propietario puede emitir tokens de acceso dorado adicionales fuera de línea para hacerse cargo de un sistema.

Pero, ¿qué es SAML? Cada entorno empresarial moderno contiene muchos servicios web diferentes proporcionados por muchos proveedores diferentes, explicó Be’ery. Cada servicio tiene su propia forma de autenticación, lo que causa problemas a los defensores: no hay un inicio de sesión único, múltiples contraseñas que los empleados pueden olvidar o reutilizar y diferentes formas de MFA para cada herramienta.

Con SAML, la administración de usuarios se traslada del proveedor de servicios (SP) a un proveedor de identidad (IdP) y la autenticación y el directorio están desacoplados del servicio. En lugar de preocuparse por docenas de aplicaciones diferentes y sus medidas de autenticación, los administradores configuran el IdP para verificar la identidad de todos los empleados. El SP y el IdP solo se comunican entre sí a través de un par de claves: el IdP firma con la clave privada y el SP verifica con la clave pública.

Un ataque SAML dorado ocurre cuando los atacantes roban una clave privada del proveedor de identidad y se convierten en un «IdP deshonesto», dijo Be’ery. De esta forma, pueden generar cualquier token SAML para acceder sin conexión en el entorno del atacante. Esto permitiría a los atacantes acceder a un sistema como cualquier usuario y en cualquier rol, sin pasar por las políticas de seguridad y MFA. También puede omitir el monitoreo de acceso si el acceso solo lo monitorea el proveedor de identidad, dijo Be’ery.

La comunidad de seguridad vio esta técnica en el ataque SolarWinds, que también marcó el primer uso conocido públicamente de Golden SAML en la naturaleza, señaló. «Parece que cada año tiene su principal violación, un incidente de seguridad, y eso fue Sunburst», dijo Be’ery.

SAML es una técnica de persistencia, y el equipo de ZenGo quería resolver el problema de Golden SAML y el uso fuera de línea de la clave privada IdP. Los atacantes tienen acceso por tiempo limitado a IdP, pero se les da acceso «fuera de línea» a largo plazo a los activos del objetivo.

Como referencia de solución, Be’ery se refirió a MFA, que ha resuelto en gran medida el uso de contraseñas como mecanismo de persistencia. Usó cuatro principios para describir por qué MFA es una buena solución: la contraseña ya no es un único punto de falla, los factores adicionales son diferentes (es decir, «no dos contraseñas»), se pueden agregar factores adicionales si es necesario y los factores adicionales Factor sigue girando.

Hay problemas que impiden que los defensores usen MFA para proteger secretos de oro, dijo Be’ery, como la compatibilidad con versiones anteriores y la falta de factores adicionales ortogonales. Los atacantes que usan Golden SAML pueden usar un certificado robado para falsificar una identidad de modo que no necesiten saber la contraseña de alguien u otros factores de autenticación.

¿Se pueden utilizar módulos de seguridad de hardware (HSM) para abordar Golden SAML? En teoría, los HSM pueden firmar una clave privada e impedir el acceso directo a ella; Sin embargo, Be’ery luego usó los mismos estándares que había usado para evaluar MFA. Con los HSM, la clave privada sigue siendo un punto único de falla, los sistemas HSM deben actualizarse constantemente y no se escala. «Habíamos pasado del software al hardware, pero ¿qué sigue … hardware?», Bromeó Be’ery. Además, los HSM no son de corta duración.

Crea una solucion

Be’ery sugirió una solución para resolver el problema: «¿Qué pasa si podemos tener varios firmantes?» él dijo. Con esta solución, cada token debe estar firmado por varias partes que sean ortogonales; B. una red de clientes y otro tercero. Sin embargo, requiere que los firmantes cambien, lo que requiere un cambio en el estándar y la participación de los proveedores de servicios, señaló.

El enfoque de ZenGo incluye el Threshold Signature Scheme (TSS), en el que se crea una clave privada de forma distribuida y se firma de forma distribuida. La clave pública y la verificación de la firma siguen siendo las mismas; solo el IdP como signatario debe actualizarse.

Dado que la clave privada se distribuye, ya no es un único punto de falla. Con los protocolos distribuidos, los mensajes se intercambian entre las partes. En la generación de claves, cada parte crea un «recurso compartido» o su propio secreto y, utilizando esos recursos compartidos, las partes firman juntas. La firma tiene el mismo aspecto y es más difícil para los atacantes robarla porque implicaría comprometer a ambas partes.

“No creamos la clave en un solo lugar, luego la dividimos y la enviamos a múltiples partes. … Eso no ayudaría ”, dijo Be’ery.

Be’ery aplicó los mismos estándares que usó para MFA al enfoque TSS: la clave privada está descentralizada, cada recurso compartido está en un entorno diferente y el número de partes es escalable. Si dos no son suficientes, se pueden usar tres, o docenas más. Las acciones también se pueden rotar sin cambiar el secreto principal.

Kelly Sheridan es la editora de personal de Dark Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que trabajó anteriormente para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas.

Literatura recomendada:

Más información



What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Las empresas siguen luchando por actitudes y lazos …

Los investigadores encuentran debilidades significativas en …