0
0
Os agentes de ameaças estão usando a engenharia social para convencer o pessoal da área de TI a redefinir a autenticação multifator (MFA) para contas corporativas Okta altamente privilegiadas, obtendo acesso ao serviço de gerenciamento de acesso de identidade (IAM) baseado em nuvem e movendo-se lateralmente através de redes direcionadas a partir daí.
Okta é um serviço IAM de nível empresarial baseado em nuvem que conecta usuários corporativos entre aplicativos e dispositivos e é usado por mais de 17.000 clientes em todo o mundo. Embora tenha sido desenvolvido para sistemas baseados em nuvem , também é compatível com muitos aplicativos locais.
Os clientes da Okta baseados nos EUA relataram um “padrão consistente” de ataques de “representação entre locatários” nas últimas semanas, com os atores visando usuários atribuídos com permissões de “superadministrador”, revelou a empresa em uma postagem recente no blog.
“Os atores da ameaça pareciam ter a) senhas para contas de usuários privilegiados ou b) serem capazes de manipular o fluxo de autenticação delegada via Active Directory (AD) antes de ligar para o service desk de TI em uma organização alvo, solicitando uma redefinição de todos os fatores de MFA na conta alvo”, de acordo com o post, atribuído às Operações Cibernéticas Defensivas da Okta.
Os hackers então acessam contas comprometidas usando serviços de proxy anônimos e um IP e dispositivo não associado anteriormente à conta do usuário “para abusar de recursos legítimos de federação de identidade que lhes permitiram se passar por usuários dentro da organização comprometida”, de acordo com o post.
As atividades dos hackers incluíram a atribuição de privilégios mais elevados a outras contas; uma redefinição de autenticadores inscritos em contas de administrador existentes; e, em alguns casos, a remoção de requisitos de segundo fator das políticas de autenticação. Isso permite que os invasores se movam lateralmente pelas redes corporativas baseadas em nuvem e se envolvam em outras atividades nefastas.
Manipulando o acesso à identidade
Os atores da ameaça no ataque abusaram de um recurso do Okta chamado Inbound Federation, que permite acesso a aplicativos em um provedor de identidade (IdP) de destino se o usuário tiver se autenticado com sucesso em um IdP de origem.
O recurso, que também pode ser usado para provisionamento just-in-time de usuários, é usado “para economizar meses em fusões, aquisições e desinvestimentos”, segundo o post. Também é popular entre grandes organizações que exigem controles centrais ou que desejam provisionar globalmente um conjunto de aplicativos, ao mesmo tempo que fornece autonomia a divisões individuais para suas próprias políticas e aplicativos.
Dado o poder de alguém com acesso a esse recurso, ele é limitado aos usuários com as permissões mais altas em uma organização Okta, definidos como Superadministrador ou Administrador da organização. Um desses administradores também pode delegar essa função a um “Administrador Personalizado” para reduzir o número de pessoas com privilégios de Super Admin em ambientes grandes e complexos, de acordo com a postagem.
Nos ataques, Okta observou os atores configurando um segundo IdP para atuar como um “aplicativo de representação” para acessar aplicativos dentro da organização comprometida em nome de outros usuários. Este segundo IdP atua sob o controle dos invasores como um IdP de “fonte” em um relacionamento de federação de entrada com o alvo.
A partir do IdP de origem, os agentes da ameaça manipularam o parâmetro de nome de usuário dos usuários-alvo no segundo IdP de “origem” para corresponder a um usuário real no IdP “de destino” comprometido. Isso permitiu que eles usassem o logon único para acessar aplicativos no IdP de destino como usuário de destino.
Protegendo o acesso de usuários com altos privilégios
Os ataques destacam por que é importante proteger o acesso a contas altamente privilegiadas em soluções IAM , de acordo com Okta, que fez uma série de recomendações para os usuários protegerem melhor essas contas em suas implantações IAM. Na verdade, eliminar a lacuna de permissões entre diversas forças de trabalho é um problema comum em ambientes corporativos de nuvem.
A Okta aconselha os clientes a restringir o uso de contas altamente privilegiadas, aplicar políticas de acesso dedicadas para usuários administrativos e monitorar e investigar qualquer uso suspeito de funções reservadas a usuários privilegiados.
As empresas que usam o Okta também podem configurar as políticas de autenticação do aplicativo para acesso a aplicativos privilegiados – incluindo o Admin Console – para exigir reautenticação “a cada login” para proteger melhor seus ambientes.
Além disso, para evitar que hackers tenham como alvo o pessoal do suporte técnico para obter acesso às contas, Okta recomendou que as organizações fortaleçam os processos de verificação de identidade do suporte técnico usando uma combinação de verificação visual, fluxos de trabalho delegados nos quais o pessoal do suporte técnico emite desafios de MFA para verificar a identidade de um usuário e/ou solicitações de acesso que exigem aprovação do gerente de linha de um usuário antes que os fatores sejam redefinidos.
As organizações também devem revisar e limitar o uso de funções de Superadministrador, implementando apenas gerenciamento de acesso privilegiado para elas. De acordo com Okta, eles devem usar funções de administrador personalizadas para tarefas de manutenção e para criar funções de suporte técnico com o mínimo de privilégios necessários, e para restringir essas funções a grupos que excluam administradores altamente privilegiados.
FONTE: DARKREADING