CEVIU Logo
Voltar
Alerta de Segurança: Mandiant Revela Vulnerabilidade Crítica no ADFS para Ataques Golden SAML

Alerta de segurança: Mandiant revela vulnerabilidade crítica no ADFS para ataques Golden SAML

Aprofundamento CEVIU

Linha do tempo

  1. Técnica 'Golden SAML' descrita pela primeira vez por pesquisadores da CyberArk.

  2. Mandiant publica detalhes aprofundados sobre a técnica 'Golden SAML'.

  3. Mandiant revela nova variante de ataque Golden SAML que explora chaves machine-scoped no ADFS.

Perguntas frequentes

O que é o ataque 'Golden SAML' e como essa nova variante o explora?

O 'Golden SAML' permite que invasores forjem asserções de identidade para qualquer usuário em aplicações federadas via SAML, contornando MFA. A nova variante, descoberta pela Mandiant, explora uma falha na gestão de certificados do ADFS, especificamente quando o AutoCertificateRollover está desabilitado e a rotação é manual. Isso deixa a chave de assinatura de token ativa vulnerável à exfiltração via Machine DPAPI.

O que significa 'chave protegida por Machine DPAPI com escopo de máquina'?

Significa que a chave de assinatura de token é criptografada e armazenada de forma que sua proteção esteja atrelada ao próprio sistema operacional, e não a uma conta de usuário específica. Essa proteção 'machine-scoped' utiliza segredos do LSA (DPAPI_SYSTEM LSA) e masterkeys da máquina, acessíveis a processos com privilégios SYSTEM, independentemente do serviço ADFS ou sessões de usuário.

Quais são as principais mitigações recomendadas para essa vulnerabilidade do ADFS?

Trate a infraestrutura ADFS como Tier 0, migre as chaves de assinatura para um Hardware Security Module (HSM) para proteção física, e configure a auditoria SACL em caminhos críticos como C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\. Também monitore a consistência entre logs de emissão do ADFS e logins do Entra ID, observando o Event ID 385 como indicador de inconsistência.

Por que o Event ID 385 do ADFS é um indicador importante nesse cenário?

O Event ID 385 indica avisos de validade de certificado no serviço ADFS. Em ambientes onde o AutoCertificateRollover está desabilitado e a rotação manual é feita sem a devida atualização do banco de dados, ele sinaliza um desalinhamento entre o certificado ativo e o registrado. Essa inconsistência é a condição que permite a exploração da chave via Machine DPAPI.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
09 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser