Οι χάκερ στοχεύουν γραφεία βοήθειας πληροφορικής για να αποκτήσουν Super Admin, απενεργοποιούν το MFA
Η εταιρεία διαχείρισης ταυτότητας και πρόσβασης Okta κυκλοφόρησε μια προειδοποίηση σχετικά με επιθέσεις κοινωνικής μηχανικής που στοχεύουν πράκτορες γραφείου υπηρεσιών πληροφορικής σε πελάτες με έδρα τις ΗΠΑ, σε μια προσπάθεια να τους ξεγελάσει ώστε να επαναφέρουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για χρήστες υψηλού προνομίου.
Ο στόχος των επιτιθέμενων ήταν να παραβιάσουν υψηλά προνομιούχους λογαριασμούς Okta Super Administrator για πρόσβαση και κατάχρηση λειτουργιών ομοσπονδίας ταυτότητας που επέτρεπαν την πλαστοπροσωπία των χρηστών από τον παραβιασμένο οργανισμό.
Η Okta παρείχε δείκτες συμβιβασμού για επιθέσεις που παρατηρήθηκαν μεταξύ 29 Ιουλίου και 19 Αυγούστου.
Η εταιρεία λέει ότι πριν καλέσει το γραφείο υπηρεσιών πληροφορικής ενός οργανισμού-στόχου, ο εισβολέας είτε είχε κωδικούς πρόσβασης για προνομιούχους λογαριασμούς είτε ήταν σε θέση να παραβιάσει τη ροή ελέγχου ταυτότητας μέσω του Active Directory (AD).
Μετά από έναν επιτυχημένο συμβιβασμό ενός λογαριασμού Super Admin, ο παράγοντας απειλής χρησιμοποίησε
υπηρεσίες
διακομιστή μεσολάβησης ανωνυμοποίησης, μια νέα διεύθυνση IP και μια νέα συσκευή.
Οι χάκερ χρησιμοποίησαν την πρόσβαση διαχειριστή τους για να αυξήσουν τα προνόμια για άλλους λογαριασμούς, να επαναφέρουν τους εγγεγραμμένους ελέγχους ταυτότητας και επίσης αφαίρεσαν την προστασία ελέγχου ταυτότητας δύο παραγόντων (2FA) για ορισμένους λογαριασμούς.
“Ο παράγοντας απειλής παρατηρήθηκε να διαμορφώνει έναν δεύτερο πάροχο ταυτότητας ώστε να λειτουργεί ως “
εφαρμογή
πλαστοπροσωπίας” για πρόσβαση σε εφαρμογές εντός του παραβιασμένου Οργανισμού για λογαριασμό άλλων χρηστών. Αυτός ο δεύτερος πάροχος ταυτότητας, που ελέγχεται επίσης από τον εισβολέα, θα λειτουργούσε ως “πηγή” IdP σε μια εισερχόμενη σχέση ομοσπονδίας (μερικές φορές ονομάζεται “Org2Org”) με τον στόχο” –
Okta
Χρησιμοποιώντας το IdP προέλευσης, οι χάκερ τροποποίησαν τα ονόματα χρήστη ώστε να ταιριάζουν με τους πραγματικούς χρήστες στο παραβιασμένο IdP-στόχο. Αυτό τους επέτρεψε να πλαστοπροσωπήσουν τον χρήστη-στόχο και παρείχε πρόσβαση σε εφαρμογές χρησιμοποιώντας τον μηχανισμό ελέγχου ταυτότητας Single-Sign-On (SSO).
Για την προστασία των λογαριασμών διαχειριστή από εξωτερικούς παράγοντες, η Okta συνιστά τα ακόλουθα μέτρα ασφαλείας:
-
Επιβάλετε έλεγχο ταυτότητας ανθεκτικό στο
phishing
χρησιμοποιώντας το Okta FastPass και το FIDO2 WebAuthn. -
Απαιτείται εκ νέου έλεγχος ταυτότητας για προνομιακή πρόσβαση σε εφαρμογές, συμπεριλαμβανομένης της
Κονσόλα
ς διαχειριστή. - Χρησιμοποιήστε ισχυρούς ελέγχους ταυτότητας για ανάκτηση αυτοεξυπηρέτησης και περιορισμό σε αξιόπιστα δίκτυα.
- Βελτιώστε τα εργαλεία απομακρυσμένης διαχείρισης και παρακολούθησης (RMM) και αποκλείστε τα μη εξουσιοδοτημένα.
- Βελτιώστε την επαλήθευση του γραφείου υποστήριξης με οπτικούς ελέγχους, προκλήσεις MFA και εγκρίσεις διαχειριστή.
-
Ενεργοποίηση και
δοκιμή
ειδοποιήσεων για νέες συσκευές και ύποπτη δραστηριότητα. - Περιορίστε τους ρόλους Super Administrator, εφαρμόστε προνομιακή διαχείριση πρόσβασης και αναθέστε εργασίες υψηλού κινδύνου.
- Εξουσιοδοτήστε τους διαχειριστές να συνδεθούν από διαχειριζόμενες συσκευές με MFA ανθεκτικό στο phishing και περιορίστε την πρόσβαση σε αξιόπιστες ζώνες.
Η συμβουλή της Okta περιλαμβάνει πρόσθετους δείκτες συμβιβασμού, όπως συμβάντα καταγραφής συστήματος και πρότυπα ροής εργασιών που υποδεικνύουν κακόβουλη δραστηριότητα σε διάφορα στάδια της επίθεσης. Η εταιρεία παρέχει επίσης ένα σύνολο διευθύνσεων IP που σχετίζονται με επιθέσεις που παρατηρήθηκαν μεταξύ 29 Ιουνίου και 19 Αυγούστου.
H/T
@HaboubiAnis