CyberArk實驗室的安全專家設計了新型入侵技術“Golden SAML”，黑客可利用它創建虛假的SAML身份驗證對象，從而竊取有價值的云資源。

SAML，全稱為Security Assertion Markup Language，即安全斷言標記語言。它是身份提供商與服務提供商之間交換身份驗證和授權數據的開放標準。

通過這種技術，攻擊者可創建虛假的企業身份，并偽造身份驗證，從而訪問聯合環境中有價值的云應用資源。

攻擊者可使用Golden SAML技術以任何期望的權限訪問支持SAML身份驗證的任何應用，例如Azure、AWS、vSphere。SAML 協議中的每條聲明都是通過存儲在用戶環境中的特定 RSA 密鑰進行信任與簽名，執行Golden SAML的必要條件包括Active Directory 聯合身份驗證賬戶、令牌簽名私鑰、IdP公共證書、IdP名稱、角色名稱、域名/用戶名、AWS的角色會話名稱和亞馬遜賬戶ID。因此，該技術不易在真實場景中實施。

Golden SAM與另一種入侵技術“Golden Ticket”極其類似。

Golden Ticket允許攻擊者操縱Windows Server Kerberos身份驗證框架完全控制IT基礎設施；

Golden SAML攻擊則利用SAML2.0協議。

CyberArk表示，攻擊者可從任何地方發起Golden SAML攻擊，不僅限于企業網絡。即使企業檢測到攻擊者的入侵行為，并對服務器做了妥善保護，但若不修改令牌簽名私鑰，攻擊者仍能利用Golden SAML Ticket從外部網絡訪問企業的云應用。除此之外，Golden SAML攻擊可繞過雙因素身份驗證，并允許攻擊者為用戶賬號簽發偽造的Ticket，甚至在用戶修改密碼后也可以做到。

而一旦攻擊者采用適當的方法實施了此類攻擊，便很難被防御者發現。如果想要減小 Golden SAML 攻擊來帶的影響也十分困難，因為它既不依賴 SAML 2.0 漏洞，也未通過 AWS / ADFS 漏洞進行，因為攻擊者主要通過獲取域管理員訪問權限實施此類活動。

安全專家建議企業應定期修改令牌簽名私鑰，從而限制攻擊者利用竊取密鑰的時間。

目前，CyberArk已發布一款新黑客工具shimit——可實現Golden SAML攻擊技術，相關內容可在Github上查看。