Sie haben Fragen?

info@8com.de
+49 6321 48446-0

NSA warnt vor Missbrauch von Federated Log-ins bei Attacken auf die Cloud

23. Dezember 2020

Der Hackerangriff auf das Software-Unternehmen SolarWinds zieht immer weitere Kreise, nachdem sich die Angreifer von dort aus auch Zugang zu dutzenden Kunden verschaffen konnten. Von US-Regierungsorganisationen bis hin zu Microsoft und dem IT-Sicherheitsunternehmen FireEye – sie alle wurden Opfer einer raffinierten Supply-Chain-Attacke. Die National Security Agency (NSA) der USA hat nun eine Sicherheitswarnung veröffentlicht, in der sie zwei Methoden beschreibt, mit denen sich Angreifer von einem lokalen Netzwerk in die Cloud ausbreiten können. Zwar wird der aktuelle Fall in der Warnung nicht explizit erwähnt, doch beide Angriffstechniken kamen wohl auch hier zum Einsatz.

Genutzt werden für die Methoden sogenannte Federated Log-ins. Dabei handelt es sich um eine Technik, die es Nutzern erlaubt, sich mit nur einem Log-in bei mehreren Diensten anzumelden. Die Anmeldeinformationen eines Nutzers werden bei einem Identity Provider gespeichert, bei dem man sich direkt einloggt. Will man eine andere Anwendung nutzen, fragt diese die Identität des Nutzers beim Provider ab und erhält daraufhin eine Bestätigung und dem Nutzer wird der Zugang gewährt. In ihrer Warnung beschreibt die NSA zwei Wege, wie Kriminelle diesen Prozess manipulieren können.

Bei der ersten Methode kompromittieren die Akteure lokale Komponenten einer Federated SSO-Infrastruktur und stehlen den Berechtigungsnachweis oder den privaten Schlüssel, der zum Signieren von SAML-Tokens (Security Assertion Markup Language) verwendet wird. Mithilfe dieser Schlüssel fälschen die Akteure dann vertrauenswürdige Authentifizierungstokens für den Zugriff auf Cloud-Ressourcen. Sollte es den Cyberkriminellen nicht gelingen, eine Signatur zu erbeuten, können sie auch versuchen, sich Administratorenrechte zu verschaffen, um so ein Zertifikat für die gefälschten SAML-Token zu hinterlegen, um darüber weitergehenden Zugriff zu erhalten.

Bei der zweiten Variante nutzen die Akteure ein kompromittiertes globales Administratorenkonto, um Anwendungen in der Cloud Anmeldeinformationen zuzuweisen. Dabei handelt es sich um spezielle Identitäten für Cloud-Anwendungen, mit denen auf andere Cloud-Ressourcen zugegriffen werden kann. Die Akteure rufen dann die Anmeldeinformationen der Anwendung für den automatisierten Zugriff auf, was sonst für die Angreifer schwierig wäre oder stärker auffallen würde.

In der Warnung wird auch betont, dass beide beschriebenen Methoden nicht etwa neu sind, sondern bereits seit mindestens drei Jahren von Kriminellen und Cyberspionen verwendet werden. Besonders gefährlich sei auch, dass nicht etwa Sicherheitslücken ausgenutzt, sondern völlig legitime Funktionen missbraucht würden. Das ist allerdings nur möglich, wenn bereits zuvor ein Netzwerk oder zumindest ein Admin-Account infiltriert wurde. Die gesamte Warnung der NSA ist hier abrufbar.

Bild (c) phonlamaiphoto / Adobe Stock

Zurück zur Blog-übersicht