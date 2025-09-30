XML Signature Wrapping (XSW) é uma classe de ataques cibernéticos que fazem uma exploração da forma como as assinaturas XML são validadas em aplicação que usam protocolos de segurança baseados em XML, particularmente em Security Assertion Markup Language (SAML), Simple Object Access Protocol (SOAP) e Web Services Security (WS-Security ou WSS).
Ataques de envolvimento de elemento de assinatura visam contornar a autenticação e obter acesso não autorizado por meio da manipulação da estrutura de um documento XML sem invalidar sua assinatura digital.
Um ataque de quebra de assinatura XML realiza uma exploração da lacuna entre o processo de validação de assinatura e o processamento de dados. O invasor injeta um elemento duplicado ou manipulado (como uma asserção SAML falsificada ou corpo SOAP) fora da parte assinada, e a aplicação acaba processando os dados maliciosos.
Boletim informativo do setor
Mantenha-se atualizado sobre as tendências mais importantes e fascinantes do setor em IA, automação, dados e muito mais com o boletim informativo da Think. Consulte a declaração de privacidade da IBM.
Sua inscrição será entregue em inglês. Você pode encontrar um link para cancelar a inscrição em todos os boletins informativos. Você pode gerenciar suas inscrições ou cancelar a inscrição aqui. Consulte nossa declaração de privacidade da IBM para obter mais informações.
O Extensible Markup Language (XML) é um formato de dados baseado em texto usado para estruturar e armazenar dados de maneira que sejam tanto legíveis por humanos quanto por máquinas. É usado em serviços da web, sistemas de identidade e troca de dados entre aplicações.
Assim como o HTML, o XML é estruturado com tags criadas para representar dados. Ele é compatível com elementos e atributos aninhados, permitindo hierarquias complexas.
O XML é frequentemente usado em protocolos SOAP, SAML e WS-Security.
Uma assinatura XML é uma assinatura digital aplicada a dados XML, definida pela especificação de assinatura XML W3C. O elemento de assinatura XML ajuda a garantir a integridade dos dados, afirmando que os dados são confiáveis, verificáveis e não adulterados.
Um hash ou resumo é calculado com base nesses dados.
O hash é criptografado com a chave privada do remetente para formar a assinatura.
A
<!-- Outros detalhes como DigestMethod, CanonicalizationMethod -->
Os ataques de XML Signature wrapping usam a flexibilidade estrutural do XML para enganar as aplicações a processar dados não autenticados enquanto são aprovados na validação da assinatura. Os invasores criam uma incompatibilidade entre o elemento que está assinado e o elemento realmente processado (normalmente, duplicando ou realocando elementos). O resultado é que a aplicação usa conteúdo não assinado, mesmo que a assinatura pareça válida.
Veja como os ataques de XML Signature Wrapping (XSW) geralmente funcionam:
Os invasores começam com uma mensagem XML real e confiável, como uma resposta de login válida assinada digitalmente (como uma resposta SAML legítima).
Eles movem a parte assinada (aquela referenciada no
Eles colocam dados forjados no local original. Esses dados forjados não são assinados, mas criados para parecer legítimos.
A maioria das aplicações busca dados por nome de tag ou expressão XPath, não verificando se é a versão assinada e, portanto, acabam usando os dados forjados.
A assinatura digital ainda verifica porque está verificando a parte assinada original (agora oculta), não a parte forjada que o aplicativo usa.
Então, a aplicação pensa que está trabalhando com um documento assinado seguro, mas na verdade está agindo sobre dados manipulados e não autorizados.
Este exemplo demonstra como um invasor pode manipular uma asserção de SAML assinada para ganhar acesso de administrador não autorizado, por meio de uma exploração da lógica fraca de análise e validação de XML.
SAML é um protocolo baseado em XML usado para trocar com segurança informações de autenticação entre dois sistemas: o provedor de identidade (IdP) e o provedor de serviço (SP). Ele permite o logon único (SSO), permitindo que os usuários se autentiquem uma vez e tenham acesso a vários serviços sem logins repetidos.
Esta é uma solicitação SAML genuína capturada por uma ferramenta como o SAML Raider no Burp Suite. Ela inclui uma seção assinada digitalmente, conhecida como asserção SAML, que contém os detalhes de identidade do usuário. Dentro dessa afirmativa está a
A solicitação também contém uma assinatura digital válida (
Na resposta do aplicativo, ele mostra o usuário como conectado com a identidade do campo
O invasor modifica secretamente a solicitação SAML movendo a asserção original assinada digitalmente para outra parte do documento XML, permitindo que a assinatura permaneça válida e passe na verificação.
Uma falsificação
Essa atividade ilustra o conceito central de um ataque XSW: a assinatura digital parece válida, mas os dados processados pela aplicação são falsos e não confiáveis.
Como resultado, a aplicação concede acesso de administrador com base na asserção falsa injetada pelo atacante. Ele não consegue verificar se a asserção que processou foi a que foi realmente assinada digitalmente. Essa falha permite que o invasor consiga se passar por um usuário administrador. O sistema que permite que o usuário faça login como admin@libcurl.so demonstra claramente que o ataque de XML Signature wrapping foi bem-sucedido.
Este exemplo mostra como uma verificação de assinatura XML fraca pode ser enganada para confiar em dados falsos. O invasor não quebra a assinatura digital. Em vez disso, os dados assinados são migrados para outro lugar, e informações falsas são colocadas onde o aplicativo espera os dados reais. Então, a aplicação processa erroneamente os dados falsos, acreditando que são seguros.
Os ataques de XSW geralmente se dividem em alguns subconjuntos ou tipos principais, cada um explorando a maneira como a verificação e a análise de assinatura XML são implementadas.
Veja a seguir uma análise dos mais comuns:
Método: o invasor migra o elemento assinado para uma parte diferente do documento XML e insere um elemento malicioso em seu local original.
Objetivo: a assinatura ainda é verificada (porque os dados assinados permanecem inalterados), mas a aplicação processa os dados injetados do invasor.
Exemplo: o assinado
Método: o invasor explora o uso de atributos de ID XML para fazer referência a dados assinados.
Meta: o atacante cria um elemento duplicado com a mesma ID, mas o coloca em um local que a aplicação processa primeiro.
Exemplo: a assinatura faz referência a #ID-1234, mas o analisador sintático usa o elemento falso do invasor com esse ID em vez do assinado.
Método: o invasor manipula namespaces XML para confundir a validação de assinatura.
Objetivo: altera a interpretação do elemento ou contorna verificações rígidas de esquema, mantendo a assinatura válida.
Exemplo: injetar um elemento <Assertion> malicioso em um novo namespace para que a validação o aprove, mas a lógica de processamento o aceite.
Método: modifica o posicionamento do
Objetivo: faça o validador pensar que tudo está assinado, mas exclua as partes controladas por invasores da cobertura da assinatura.
Exemplo: mover o original
Método: manipula consultas XPath usadas durante a validação de assinatura para apontar para nós controlados pelo invasor em vez do nó assinado.
Objetivo: enganar o verificador de assinatura para verificar dados inofensivos enquanto a aplicação processa dados maliciosos.
Exemplo: ajustar o XML para que o XPath do verificador (por exemplo,
Os ataques de XSW podem levar a consequências reais graves, especialmente quando dados confidenciais ou operações críticas estão envolvidos. Esses cenários hipotéticos destacam o possível impacto de tais ataques.
Cenário: uma aplicação usa o logon único baseado em SAML para autenticar usuários. Cada resposta de login inclui uma asserção SAML assinada digitalmente que identifica o usuário.
Ataque de XSW: um invasor captura uma resposta SAML legítima, migra a asserção assinada para uma parte diferente do documento XML e insere uma asserção falsificada alegando ser um administrador em seu lugar.
Impacto: o sistema valida a assinatura na asserção original, mas processa a asserção não assinada e injetada pelo invasor, concedendo ao agente da ameaça acesso como um usuário privilegiado.
Cenário: uma interface de programação de aplicativos (API) de serviço da web usa SOAP e WS-Security para processar solicitações. O corpo da mensagem SOAP é assinado digitalmente para ajudar a garantir que o comando seja confiável.
Ataque de XSW: o invasor envolve o corpo SOAP original e assinado em um elemento wrapper inofensivo e o substitui por um novo corpo não assinado que contém privilégios elevados ou ações não autorizadas.
Impacto: se o serviço processar o corpo não assinado, o invasor poderá escalar privilégios ou realizar ações restritas, como visualizar ou modificar dados sensíveis.
Cenário: uma interface administrativa permite que os usuários enviem comandos baseados em XML, como exclusão de conta ou redefinições de senha, protegidos por assinaturas digitais.
Ataque de XSW: o invasor migra o comando assinado para um local secundário e injeta um comando não assinado (como excluir a conta de outro usuário ou redefinir a senha de um administrador) em seu lugar.
Impacto: se a aplicação processar o comando não assinado, ela pode realizar operações críticas em nome de um usuário não autorizado.
Cenário: um banco protege suas operações de transferência de fundos usando assinaturas XML. Cada solicitação contém detalhes da transação, como o valor da transferência e os números das contas do remetente e do destinatário. As solicitações são assinadas digitalmente para garantir a autenticidade.
Ataque de XSW: um invasor captura uma solicitação de transferência válida, realoca os dados assinados para uma seção não crítica do documento e insere uma transação falsificada com um valor maior e uma conta de destinatário diferente.
Impacto: se a aplicação não conseguir verificar rigorosamente se a transação processada é aquela que foi assinada, ela poderá executar a transação falsificada pelo atacante, resultando em transferências não autorizadas e perda financeira.
Cenário: uma plataforma online protege seus tokens de autenticação usando assinaturas digitais XML. Cada token contém informações de identidade do usuário e direitos de acesso e é assinado criptograficamente para evitar adulterações.
Ataque de XSW: um invasor captura um token válido, migra a parte assinada para outro local dentro do XML e injeta um novo segmento não assinado que inclui privilégios elevados ou não autorizados.
Impacto: se o servidor processar a seção manipulada em vez da assinada, o invasor poderá obter acesso não autorizado ou realizar operações privilegiadas, comprometendo a segurança da aplicação.
Para analisar se uma aplicação é vulnerável a ataques de XML Signature Wrapping, é importante entender como ela analisa e processa dados XML. É especialmente importante entender a análise e o processamento de XML em contextos confidenciais de segurança, como autenticação SAML ou mensagens SOAP.
Veja a seguir algumas técnicas e estratégias de testes para identificar essas vulnerabilidades em ambientes reais:
Verifique se a aplicação extrai elementos como
Use o Burp Suite com o SAML Raider para injetar um elemento não assinado falso e envolver o assinado. Se o aplicativo processar os dados falsos enquanto a assinatura ainda for validada, ele estará vulnerável ao XSW.
Insira uma asserção assinada em uma seção oculta e uma falsa em um local visível. Se o aplicativo processar os dados falsos, ficará vulnerável ao XSW.
Realoque o elemento assinado (aquele referenciado em
Se a aplicação processar a versão não assinada em vez da realmente assinada, então a aplicação fica vulnerável a um ataque de XSW. O aplicativo está validando a assinatura corretamente, mas não consegue garantir que está usando o conteúdo assinado, permitindo que invasores injetem dados não autorizados.
Envie asserções malformadas e observe erros detalhados ou respostas inconsistentes. Essas respostas podem expor pontos fracos na lógica de segurança e validação XML do aplicativo.
Use ferramentas como SAML Raider, SoapUI ou ambiente de teste XML personalizado para aplicar padrões de ataque de XSW. Se a aplicação aceitar e processar qualquer uma das cargas, isso indica uma vulnerabilidade de XSW.
Se o aplicativo ler dados XML escolhendo elementos com base no nome da tag sem garantir que está usando o elemento assinado e confiável, ele poderá ser induzido a processar dados falsos.
Para proteger uma aplicação contra ataques de XSW, os desenvolvedores podem implementar o processamento XML rigoroso, validar assinaturas corretamente e garantir que apenas dados assinados e confiáveis sejam usados.
Aqui estão algumas contramedidas específicas que podem ajudar na defesa contra ataques de XSW:
Certifique-se de que o elemento XML exato que está sendo usado para autenticação ou autorização seja o mesmo que foi assinado digitalmente. Isso impede que os invasores injetem uma segunda asserção não assinada de que a aplicação pode processar por engano em vez da asserção legítima e assinada.
Uma assinatura com envelope é uma assinatura colocada dentro do elemento que assina. O envelopamento torna mais difícil para os invasores inserir elementos maliciosos fora do conteúdo assinado sem quebrar a estrutura, ajudando a impedir o envolvimento ou a substituição.
Use um analisador de XML seguro configurado para rejeitar documentos com IDs duplicados, referências a entidades externas ou estrutura inesperada. O XSW depende da manipulação da estrutura XML, como a inserção de tags duplicadas ou várias asserções. A análise rigorosa reduz essa superfície de ataque, impondo entradas bem formadas e em conformidade com o esquema.
Vincule a lógica de processamento da aplicação diretamente ao elemento XML referenciado na assinatura (usando o atributo de ID ou tag de
Rejeite respostas SAML que contenham mais de um <Assertion>, a menos que seja explicitamente necessário. Os ataques de XSW geralmente injetam uma segunda asserção. Garantir que apenas um seja processado ajuda a eliminar a ambiguidade e reduz o risco.
Use bibliotecas bem mantidas e conscientes da segurança para validação de assinatura digital XML (como Apache Santuário ou OpenSAML) com configurações padrão seguras. Essas bibliotecas geralmente incluem proteção integrada contra a quebra de assinatura quando configuradas corretamente.
Valide as asserções SAML recebidas em relação à definição de esquema XML (XSD) SAML oficial. A validação impede que invasores injetem elementos ou atributos inesperados que ignoram a lógica de negócios ou confundem o analisador XML.
Garanta que cada atributo de ID usado em XML assinado (como asserções) seja exclusivo e que as referências correspondam a apenas um elemento. As explorações de XSW podem ser bem-sucedidas fazendo referência a um elemento na assinatura enquanto injeta outro com o mesmo ID ou nome de tag. Impor a singularidade ajuda a evitar essa confusão.
Essas práticas podem reduzir o risco de invasores explorarem estruturas XML e lógica de processamento de assinatura, fechando efetivamente a porta a muitos ataques XSW.
O relatório sobre plataformas de segurança de dados da KuppingerCole traz orientações e recomendações para encontrar produtos de proteção e governança de dados confidenciais que melhor atendam às necessidades dos clientes.
Consiga insights para se preparar e responder a ciberataques com maior velocidade e eficácia com o IBM X-Force Threat Intelligence Index.
Descubra os benefícios e o ROI do IBM Security Guardium Data Protection neste estudo do TEI da Forrester.
Acesse o relatório Gartner® para saber como gerenciar todo o inventário de IA, proteger as cargas de trabalho de IA com barreiras de proteção, reduzir riscos e gerenciar o processo de governança para ter confiança em IA para todos os casos de uso de IA na sua organização.
Aprenda estratégias para simplificar e acelerar seu roteiro de resiliência de dados, além de atender aos mais recentes requisitos de conformidade normativa.
Siga etapas claras para realizar tarefas e aprender a utilizar a tecnologia com eficácia em seus projetos.
Proteja os dados em vários ambientes, cumpra os regulamentos de privacidade e simplifique a complexidade operacional.
Conheça o IBM Guardium, uma família de software de segurança de dados que protege os dados confidenciais no local e na nuvem.
A IBM oferece serviços abrangentes de segurança de dados para proteger dados corporativos, aplicações e IA.
Proteja os dados da sua organização em toda a nuvem híbrida e simplifique os requisitos de conformidade com soluções de segurança de dados.