Okta: Hackers target IT desks to gain Super Admin, disable MFA

ID およびアクセス管理会社 Okta は、米国に拠点を置く顧客の IT サービス デスク エージェントをターゲットにして、高い特権を持つユーザーの多要素認証 (MFA) をリセットさせることを目的としたソーシャル エンジニアリング攻撃に関する警告を発表しました。

攻撃者の目的は、高度な特権を持つ Okta スーパー管理者アカウントを乗っ取り、侵害された組織のユーザーになりすますことを可能にする ID フェデレーション機能にアクセスして悪用することでした。

Okta は、7 月 29 日から 8 月 19 日までに観察された攻撃に対する侵害の兆候を提供しました。

同社によると、攻撃者は標的組織のITサービスデスクに電話する前に、特権アカウントのパスワードを持っていたか、Active Directory(AD)を介して認証フローを改ざんすることができたという。

スーパー管理者アカウントの侵害に成功した後、攻撃者は匿名化プロキシ サービス、新しい IP アドレス、および新しいデバイスを使用しました。

ハッカーは管理者アクセスを使用して他のアカウントの権限を昇格し、登録されている認証システムをリセットし、さらに一部のアカウントの 2 要素認証 (2FA) 保護も削除しました。

「脅威アクターは、他のユーザーに代わって侵害された組織内のアプリケーションにアクセスするための「偽装アプリ」として機能するように 2 番目の ID プロバイダーを設定していることが観察されました。この 2 番目の ID プロバイダーも攻撃者によって制御されており、「ソース」として機能します。ターゲットとの受信フェデレーション関係 (「Org2Org」と呼ばれることもあります) にある IdP」 – Okta

ハッカーはソース IdP を使用して、侵害されたターゲット IdP の実際のユーザーと一致するようにユーザー名を変更しました。これにより、ターゲット ユーザーになりすまして、シングル サインオン (SSO) 認証メカニズムを使用してアプリケーションにアクセスできるようになりました。

管理者アカウントを外部攻撃者から保護するために、Okta は次のセキュリティ対策を推奨します。

  • Okta FastPass と FIDO2 WebAuthn を使用して、フィッシング耐性のある認証を強化します。
  • Admin Console を含む特権アプリ アクセスには再認証が必要です。
  • セルフサービス回復には強力な認証システムを使用し、信頼できるネットワークに制限します。
  • リモート管理および監視 (RMM) ツールを合理化し、不正なツールをブロックします。
  • 視覚的なチェック、MFA チャレンジ、マネージャーの承認により、ヘルプ デスクの検証を強化します。
  • 新しいデバイスや不審なアクティビティに対するアラートをアクティブにしてテストします。
  • スーパー管理者の役割を制限し、特権アクセス管理を実装し、リスクの高いタスクを委任します。
  • 管理者に、フィッシング耐性のある MFA を使用して管理対象デバイスからサインインすることを義務付け、信頼されたゾーンへのアクセスを制限します。

Okta の勧告には、攻撃のさまざまな段階での悪意のあるアクティビティを示すシステム ログ イベントやワークフロー テンプレートなど、侵害の追加の指標が含まれています。同社はまた、6月29日から8月19日までに観察された攻撃に関連する一連のIPアドレスも提供している。

はーと@habobianis