Single Sign-On (SSO) soll den Benutzerkomfort erhöhen – und gleichzeitig Sicherheit verbessern. Doch bei zentralisierten Authentifizierungssystemen hängt alles an der korrekten Validierung. In einem Red-Team-Projekt entdeckten wir eine kritische Schwachstelle in der SSO-Implementierung eines großen Mittelständlers.
Der Einstiegspunkt – Manipulierbare Assertion
Das Zielsystem nutzte SAML-basiertes SSO über einen Identity Provider (IdP), der zunächst korrekt konfiguriert schien. Über einen angebundenen Drittanbieter-Service, der SAML-Assertions nur teilweise prüfte, konnten wir jedoch eine manipulierte Assertion einschleusen – und uns so als Administrator ausgeben.
Angriff im Detail
Der Drittanbieter prüfte lediglich die Signatur des SAML-Requests, nicht den Inhalt der Assertion.
Durch das Austauschen des NameID-Werts gegen einen bekannten Admin-Account (z. B. admin@firma.local) erhielten wir ein gültiges Session-Cookie für das interne Portal – ohne Passwort.
Von Web zu Windows
Über das kompromittierte Portal konnten wir einen Self-Service-Workflow missbrauchen, der automatisch neue AD-Konten anlegte. Ein nicht validierter API-Call lief dabei unter den Rechten des kompromittierten Admin-Kontos – mit folgenden Möglichkeiten:
- Erstellen beliebiger Benutzer mit frei wählbarem Passwort
- Hinzufügen zur Gruppe
Domain Admins - Login via RDP → Dump mit Mimikatz
Ergebnis: Vollständige Domänenkompromittierung in unter 90 Minuten.
Lessons Learned
- SSO-Integrationen mit Drittanbietern immer vollständig prüfen
- Nur korrekt signierte und validierte Assertions akzeptieren
- Logging & Alerting auf IdP- und SP-Seite aktiv nutzen
Weiterführende Referenzen
PortSwigger: SAML vulnerability abuses SSO
SAMLTool.io – Assertion Editor & Validator
🛡️ Sind Ihre SSO-Integrationen wirklich sicher?
Unser Red Team Assessment deckt auch komplexe Authentifizierungs-Fehlkonfigurationen frühzeitig auf.
Jetzt Red Team buchen