CyberArk实验室的安全专家设计了新型入侵技术“Golden SAML”，黑客可利用它创建虚假的SAML身份验证对象，从而窃取有价值的云资源。

SAML，全称为Security Assertion Markup Language，即安全断言标记语言。它是身份提供商与服务提供商之间交换身份验证和授权数据的开放标准。

通过这种技术，攻击者可创建虚假的企业身份，并伪造身份验证，从而访问联合环境中有价值的云应用资源。

攻击者可使用Golden SAML技术以任何期望的权限访问支持SAML身份验证的任何应用，例如Azure、AWS、vSphere。SAML 协议中的每条声明都是通过存储在用户环境中的特定 RSA 密钥进行信任与签名，执行Golden SAML的必要条件包括Active Directory 联合身份验证账户、令牌签名私钥、IdP公共证书、IdP名称、角色名称、域名/用户名、AWS的角色会话名称和亚马逊账户ID。因此，该技术不易在真实场景中实施。

Golden SAM与另一种入侵技术“Golden Ticket”极其类似。

Golden Ticket允许攻击者操纵Windows Server Kerberos身份验证框架完全控制IT基础设施；

Golden SAML攻击则利用SAML2.0协议。

CyberArk表示，攻击者可从任何地方发起Golden SAML攻击，不仅限于企业网络。即使企业检测到攻击者的入侵行为，并对服务器做了妥善保护，但若不修改令牌签名私钥，攻击者仍能利用Golden SAML Ticket从外部网络访问企业的云应用。除此之外，Golden SAML攻击可绕过双因素身份验证，并允许攻击者为用户账号签发伪造的Ticket，甚至在用户修改密码后也可以做到。

而一旦攻击者采用适当的方法实施了此类攻击，便很难被防御者发现。如果想要减小 Golden SAML 攻击来带的影响也十分困难，因为它既不依赖 SAML 2.0 漏洞，也未通过 AWS / ADFS 漏洞进行，因为攻击者主要通过获取域管理员访问权限实施此类活动。

安全专家建议企业应定期修改令牌签名私钥，从而限制攻击者利用窃取密钥的时间。

目前，CyberArk已发布一款新黑客工具shimit——可实现Golden SAML攻击技术，相关内容可在Github上查看。