4 clientes de Okta afectados por una campaña que les dio a los atacantes control de superadministrador
4 clientes de Okta afectados por una campaña que les dio a los atacantes control de superadministrador
Expandir
imágenes falsas
El servicio de autenticación Okta dijo que cuatro de sus clientes se vieron afectados por una reciente campaña de ingeniería social que permitió a los piratas informáticos tomar el control de las cuentas de superadministrador y, a partir de ahí, debilitar o eliminar por completo la autenticación de dos factores que protege las cuentas. del acceso no autorizado. acceso.
Las cuentas de superadministrador de Okta se asignan a los usuarios con los permisos más altos dentro de una organización que utiliza el servicio Okta. En las últimas semanas, el personal de TI de los clientes de Okta ha recibido llamadas que siguen un patrón constante de ingeniería social, en el que los atacantes se hacen pasar por miembros internos de la empresa en un intento de engañar a los empleados para que revelen sus contraseñas o hagan otras cosas peligrosas. En este caso, los atacantes llaman al personal de la mesa de servicio e intentan convencerlos de que restablezcan todos los factores de autenticación multifactor asignados a los superadministradores u otros usuarios altamente privilegiados, dijo Okta recientemente.
La autenticación de dos factores y la autenticación de múltiples factores, comúnmente abreviadas como 2FA y MFA, requieren datos biométricos, la posesión de una clave de seguridad física o el conocimiento de una contraseña de un solo uso además de una contraseña que normalmente se utiliza para acceder a una cuenta. . .
Diríjase a los usuarios con los permisos más altos
Si tenían éxito, los atacantes utilizaron las cuentas de superadministrador comprometidas para asignar mayores privilegios a otras cuentas y/o restablecer las credenciales registradas en las cuentas de administrador existentes. En algunos casos, el actor de la amenaza también ha eliminado los requisitos del segundo factor de las políticas de autenticación. El actor malicioso también asignó una nueva aplicación para acceder a los recursos dentro de la organización comprometida. Estas "aplicaciones de suplantación de identidad" se crearon después de que se registrara un nuevo proveedor de identidad, que los clientes integran con su cuenta de Okta.
"Dado el poder de este sistema, el acceso para crear o editar un proveedor de identidad está limitado a los usuarios con los permisos más altos en una organización de Okta: superadministrador o administrador de la organización", escribieron los funcionarios de Okta. “También se puede delegar a una función de administrador personalizada para reducir la cantidad de superadministradores necesarios en entornos grandes y complejos. Estos ataques recientes muestran por qué es tan importante proteger el acceso a cuentas con privilegios elevados. »
Un representante de Okta, citando al director de seguridad de la compañía, David Bradbury, dijo en un correo electrónico que cuatro clientes se vieron afectados durante el período de tres semanas desde el 29 de julio, cuando la compañía comenzó a rastrear la campaña, hasta el 19 de agosto. elaborar.
Ataques como estos son graves porque las empresas de autenticación a menudo poseen o almacenan múltiples credenciales con altos privilegios dentro de organizaciones confidenciales. El año pasado, la violación del proveedor de 2FA Twilio, por ejemplo, permitió a los atacantes piratear al menos 136 clientes de la empresa.
Como fue el caso en esta campaña, los atacantes que apuntan a los clientes de Okta tienen amplios recursos. En algunos casos, ya tenían las contraseñas de cuentas de alto acceso. En otros, pudieron cambiar el flujo de autenticación del Active Directory de los clientes, que está federado a través de Okta. Para completar el ataque, los atacantes primero tuvieron que engañar a los clientes para que redujeran las protecciones MFA que los bloqueaban.
El mensaje de Okta resumió las técnicas, tácticas y procedimientos de los atacantes de la siguiente manera:
El actor malicioso obtendría acceso a la cuenta comprometida utilizando servicios de proxy anónimos, una dirección IP y un dispositivo que no estaba previamente asociado con la cuenta del usuario.
Se han utilizado cuentas de superadministrador comprometidas para asignar privilegios más altos a otras cuentas y/o restablecer las credenciales registradas en cuentas de administrador existentes. En algunos casos, el actor de la amenaza ha eliminado los requisitos del segundo factor de las políticas de autenticación.
Se observó que el actor malicioso configuraba un segundo proveedor de identidad para que actuara como una "aplicación de suplantación" para acceder a aplicaciones dentro de la organización comprometida en nombre de otros usuarios. Este segundo proveedor de identidad, también controlado por el atacante, actuaría como un IdP de "origen" en una relación de federación entrante (a veces denominada "Org2Org") con el objetivo.
De esta “fuente”…
El servicio de autenticación Okta dijo que cuatro de sus clientes se vieron afectados por una reciente campaña de ingeniería social que permitió a los piratas informáticos tomar el control de las cuentas de superadministrador y, a partir de ahí, debilitar o eliminar por completo la autenticación de dos factores que protege las cuentas. del acceso no autorizado. acceso.
Las cuentas de superadministrador de Okta se asignan a los usuarios con los permisos más altos dentro de una organización que utiliza el servicio Okta. En las últimas semanas, el personal de TI de los clientes de Okta ha recibido llamadas que siguen un patrón constante de ingeniería social, en el que los atacantes se hacen pasar por miembros internos de la empresa en un intento de engañar a los empleados para que revelen sus contraseñas o hagan otras cosas peligrosas. En este caso, los atacantes llaman al personal de la mesa de servicio e intentan convencerlos de que restablezcan todos los factores de autenticación multifactor asignados a los superadministradores u otros usuarios altamente privilegiados, dijo Okta recientemente.
La autenticación de dos factores y la autenticación de múltiples factores, comúnmente abreviadas como 2FA y MFA, requieren datos biométricos, la posesión de una clave de seguridad física o el conocimiento de una contraseña de un solo uso además de una contraseña que normalmente se utiliza para acceder a una cuenta. . .
Diríjase a los usuarios con los permisos más altos
Si tenían éxito, los atacantes utilizaron las cuentas de superadministrador comprometidas para asignar mayores privilegios a otras cuentas y/o restablecer las credenciales registradas en las cuentas de administrador existentes. En algunos casos, el actor de la amenaza también ha eliminado los requisitos del segundo factor de las políticas de autenticación. El actor malicioso también asignó una nueva aplicación para acceder a los recursos dentro de la organización comprometida. Estas "aplicaciones de suplantación de identidad" se crearon después de que se registrara un nuevo proveedor de identidad, que los clientes integran con su cuenta de Okta.
"Dado el poder de este sistema, el acceso para crear o editar un proveedor de identidad está limitado a los usuarios con los permisos más altos en una organización de Okta: superadministrador o administrador de la organización", escribieron los funcionarios de Okta. “También se puede delegar a una función de administrador personalizada para reducir la cantidad de superadministradores necesarios en entornos grandes y complejos. Estos ataques recientes muestran por qué es tan importante proteger el acceso a cuentas con privilegios elevados. »
Un representante de Okta, citando al director de seguridad de la compañía, David Bradbury, dijo en un correo electrónico que cuatro clientes se vieron afectados durante el período de tres semanas desde el 29 de julio, cuando la compañía comenzó a rastrear la campaña, hasta el 19 de agosto. elaborar.
Ataques como estos son graves porque las empresas de autenticación a menudo poseen o almacenan múltiples credenciales con altos privilegios dentro de organizaciones confidenciales. El año pasado, la violación del proveedor de 2FA Twilio, por ejemplo, permitió a los atacantes piratear al menos 136 clientes de la empresa.
Como fue el caso en esta campaña, los atacantes que apuntan a los clientes de Okta tienen amplios recursos. En algunos casos, ya tenían las contraseñas de cuentas de alto acceso. En otros, pudieron cambiar el flujo de autenticación del Active Directory de los clientes, que está federado a través de Okta. Para completar el ataque, los atacantes primero tuvieron que engañar a los clientes para que redujeran las protecciones MFA que los bloqueaban.
El mensaje de Okta resumió las técnicas, tácticas y procedimientos de los atacantes de la siguiente manera:
El actor malicioso obtendría acceso a la cuenta comprometida utilizando servicios de proxy anónimos, una dirección IP y un dispositivo que no estaba previamente asociado con la cuenta del usuario.
Se han utilizado cuentas de superadministrador comprometidas para asignar privilegios más altos a otras cuentas y/o restablecer las credenciales registradas en cuentas de administrador existentes. En algunos casos, el actor de la amenaza ha eliminado los requisitos del segundo factor de las políticas de autenticación.
Se observó que el actor malicioso configuraba un segundo proveedor de identidad para que actuara como una "aplicación de suplantación" para acceder a aplicaciones dentro de la organización comprometida en nombre de otros usuarios. Este segundo proveedor de identidad, también controlado por el atacante, actuaría como un IdP de "origen" en una relación de federación entrante (a veces denominada "Org2Org") con el objetivo.
De esta “fuente”…
Expandir
imágenes falsas
