Descripción de la Tecnica
SAML Tokens es una técnica utilizada por actores adversariales para forjar tokens SAML con permisos arbitrarios y periodos de validez modificados. Este ataque aprovecha la configuración de tokens SAML, que permiten a un atacante crear tokens falsos utilizando un certificado de firma válido. La duración predeterminada de un token SAML es una hora, pero puede ajustarse mediante parámetros como NotOnOrAfter o AccessTokenLifetime.
Como Funciona
Un atacante puede generar tokens SAML falsos al manipular la configuración de validación y el tiempo de vida del token. Al tener acceso a un certificado de firma SAML válido, el atacante puede crear tokens con permisos no autorizados y periodos de validez extendidos. Esto permite mantener una sesión activa o acceder a recursos protegidos sin autenticación real.
Actores que la Utilizan
Esta técnica está asociada al grupo attack-pattern de MITRE ATT&CK. Se ha documentado en el contexto de ataques complejos, como los descritos en MITRE ATT&CK. Actores avanzados o con acceso a sistemas SAML mal configurados pueden aprovechar esta vulnerabilidad para comprometer cuentas o sistemas.
Detección
La detección de este ataque requiere monitorear tokens SAML en busca de anomalías, como: - Periodos de validez inusuales (más largos que la configuración predeterminada). - Claims (permisos) no autorizados en el token. - Uso de certificados de firma SAML sin validación. - Registro de accesos anómalos a sistemas protegidos mediante tokens SAML.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para prevenir este tipo de ataques: - Revisar configuraciones de SAML: Asegurar que los periodos de validez estén limitados a lo estrictamente necesario. - Implementar validación rigurosa: Verificar que todos los tokens SAML se generen con certificados autorizados y no se modifiquen sin autorización. - Auditar logs de autenticación: Monitorear accesos anómalos a sistemas protegidos mediante tokens SAML. - Utilizar multi-factor authentication (MFA): Reducir el impacto de ataques que dependen de credenciales o tokens.