Especialistas en seguridad informática reportan el hallazgo de una severa vulnerabilidad que reside en algunos servicios de inicio de sesión único (SSO, por sus siglas en inglés). Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas comprometer por completo un entorno informático, incluso aquellos de grandes organizaciones.
Cabe recordar que la tecnología SSO es un enfoque muy útil para la autenticación y gestión de identidad en sistemas informáticos, permitiendo a los usuarios individuales y empresariales llevar un control estricto del acceso a los recursos corporativos.
Esta tecnología ha permitido a las organizaciones aligerar la carga de trabajo en relación al manejo de contraseñas, evitando que los usuarios tengan que recordar múltiples palabras clave y reduciendo la intervención de los equipos de soporte técnico al no haber problemas de autenticación.
Sobre la vulnerabilidad, el especialista de NCC Group Adam Roberts menciona que se trata de una falla usualmente asociada a servicios SSO basados en Security Assertion Markup Language (SAML). SAML es un estándar para el intercambio seguro de datos de autenticación y autorización en diferentes contextos. Esta solución se integra con Active Directory, un servicio de directorio de Microsoft que representa una opción ideal para su implementación en entornos empresariales.
Esta tecnología puede verse afectada por fallas de implementación que se convierten en un punto de entrada para los actores de amenazas en los sistemas afectados: “La vulnerabilidad permitiría a los hackers maliciosos modificar las respuestas SAML generadas por el sistema SSO, lo que derivaría en la filtración de los datos de acceso y a escenarios de escaladas de privilegios en la aplicación comprometida”, señala el experto.
El experto menciona haber descubierto que estas respuestas de autenticación SAML podrían ser modificadas empleando una técnica conocidas como inyección SAML XML: “Los actores de amenazas pueden inyectar XML adicional para cambiar la estructura del mensaje SAML”, señala Roberts.
Acorde al reporte, dependiendo de la ubicación de la inyección y de la configuración de proveedores de servicios, podría ser posible inyectar condiciones adicionales o incluso inyectar nombres de usuarios completamente nuevos en un intento de comprometer las cuentas de los usuarios afectados. “Debe tener en cuenta que el código XML para las afirmaciones y respuestas SAML se crea antes de que se aplique una firma de cifrado, por lo que firmar la respuesta no es una protección funcional contra esta variante de ataque”, menciona el investigador.
Roberts concluyó mencionando que el problema surgió de un error de implementación en lugar de un defecto inherente en la especificación SAML: “El problema parece surgir cuando los desarrolladores crean documentos XML de forma insegura, incluido el uso de plantillas basadas en cadenas para crear el XML de respuesta SAML o el uso incorrecto de una biblioteca XML”, explicó.