Исследователи CyberArk Labs обнаружили технику атаки под названием «Golden SAML», которая может быть использована злоумышленниками для подделки запросов авторизации компаний и скомпрометировать механизм аутентификации для того, чтобы получить доступ к ресурсам из облака в федеративной среде.
Федерация обеспечивает безопасную взаимосвязь между различными средами, такими как Microsoft AD, Azure, АМС и многие другие. Эта взаимосвязь позволяет пользователю из AD, например, пользоваться преимуществами SSO для всех сред в такой федерации. Говоря о федерации, злоумышленник больше не будет ограничиваться контролем над AD своей жертвы.
Более подробную информацию можно найти на блоге CyberArk: https://www.cyberark.com/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-cloud-apps/
Примечание: SAML (Security Assertion Markup Language) является открытым стандартом для обмена данными аутентификации и авторизации между провайдером идентификации и провайдером услуг.
OMD CERT рекомендует отслеживать учетные записи ADFS для выявления возможных атак.