Техники: T1606 , T1606.001 , T1606.002
Злоумышленник может подделать SAML-токены с любыми требованиями к разрешениям и сроками действия, если у него есть действительный сертификат подписания SAML-токена.(Цитата: Microsoft SolarWinds Steps) По умолчанию срок действия SAML-токена составляет один час, но период действия можно указать в значении NotOnOrAfter элемента conditions ... в токене. Это значение можно изменить с помощью параметра AccessTokenLifetime в LifetimeTokenPolicy.(Цитата: Microsoft SAML Token Lifetimes) Поддельные токены SAML позволяют злоумышленникам аутентифицироваться в службах, использующих SAML 2.0 в качестве механизма SSO (единого входа).(Цитата: Cyberark Golden SAML)
Злоумышленник может использовать Private Keys для компрометации сертификата подписания токенов организации с целью создания поддельных токенов SAML. Если у противника достаточно прав для создания нового федеративного доверия с собственным сервером Active Directory Federation Services (AD FS), он может вместо этого создать свой собственный доверенный сертификат подписания токенов.(Цитата: Microsoft SolarWinds Customer Guidance) Это отличается от Steal Application Access Token и других подобных действий тем, что токены создаются и подделываются противником, а не крадутся или перехватываются у законных пользователей.
Злоумышленник может получить административные привилегии Entra ID, если подделать токен SAML, утверждающий, что он представляет высокопривилегированную учетную запись. Это может привести к Use Alternate Authentication Material, которая может обойти многофакторную и другие механизмы защиты аутентификации.(Цит. по: Microsoft SolarWinds Customer Guidance)
https://attack.mitre.org/techniques/T1606/002
Визуализация смежных техник для T1606.002
| № | Техника |
|---|
