jordiserrano.meClickFixKAIROSIntelTracker🌐 Traducir
Panel de inteligencia » SAML Tokens

SAML Tokens

Threat-actor 2 min lectura
Fecha
26 May 2026
Actor
-
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium
41
Prioridad analitica
Baja

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

1IOCs
0TTPs
N/DActor
UnknownPais

SAML Tokens

Descripción de la Tecnica

SAML Tokens es una técnica utilizada por actores adversariales para forjar tokens SAML con permisos arbitrarios y periodos de validez modificados. Este ataque aprovecha la configuración de tokens SAML, que permiten a un atacante crear tokens falsos utilizando un certificado de firma válido. La duración predeterminada de un token SAML es una hora, pero puede ajustarse mediante parámetros como NotOnOrAfter o AccessTokenLifetime.

Como Funciona

Un atacante puede generar tokens SAML falsos al manipular la configuración de validación y el tiempo de vida del token. Al tener acceso a un certificado de firma SAML válido, el atacante puede crear tokens con permisos no autorizados y periodos de validez extendidos. Esto permite mantener una sesión activa o acceder a recursos protegidos sin autenticación real.

Actores que la Utilizan

Esta técnica está asociada al grupo attack-pattern de MITRE ATT&CK. Se ha documentado en el contexto de ataques complejos, como los descritos en MITRE ATT&CK. Actores avanzados o con acceso a sistemas SAML mal configurados pueden aprovechar esta vulnerabilidad para comprometer cuentas o sistemas.

Detección

La detección de este ataque requiere monitorear tokens SAML en busca de anomalías, como: - Periodos de validez inusuales (más largos que la configuración predeterminada). - Claims (permisos) no autorizados en el token. - Uso de certificados de firma SAML sin validación. - Registro de accesos anómalos a sistemas protegidos mediante tokens SAML.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para prevenir este tipo de ataques: - Revisar configuraciones de SAML: Asegurar que los periodos de validez estén limitados a lo estrictamente necesario. - Implementar validación rigurosa: Verificar que todos los tokens SAML se generen con certificados autorizados y no se modifiquen sin autorización. - Auditar logs de autenticación: Monitorear accesos anómalos a sistemas protegidos mediante tokens SAML. - Utilizar multi-factor authentication (MFA): Reducir el impacto de ataques que dependen de credenciales o tokens.

Diamond Model

Adversary
No atribuido
Victim
SAML Tokens
attack.mitre.org
Capability
Threat-actor
Infrastructure
attack.mitre.org

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Domain attack.mitre.org Dominio victima VT OffSec SOCRadar

Referencias y enlaces

→ Buscar en Google News → Analizar en VirusTotal → Buscar en Shodan → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

FortiBleed: exposición masiva de credenciales Fortinet y guía CTI de respuesta19 Jun 2026 · campaign PJ Daly Contracting19 Jun 2026 · qilin mlit.com.my UPDATE-FULL DATA DUMP 10GB19 Jun 2026 · stormous June 2026 Stealer Logs18 Jun 2026 · breach CFGI18 Jun 2026 · breach Berkadia18 Jun 2026 · breach Infinite Campus18 Jun 2026 · breach Horizon Family Medical Group18 Jun 2026 · incransom