黑客通过帮助台目标高特权的Okta账户

威胁行为者说服员工重置IAM服务中的超级管理员账户的多重身份验证(MFA),以利用受损账户,冒充用户并在组织内部横向移动。
黑客通过帮助台目标高特权的Okta账户

威胁行为者正在使用社会工程学手法,说服IT服务台人员重置高度特权的Okta企业账户的多重身份验证(MFA),从而获取对基于云的身份访问管理(IAM)服务的访问权限,并从那里在目标网络内部进行横向移动。

Okta是一个基于云的企业级IAM服务,可连接企业用户跨应用程序和设备,全球有超过17,000家客户在使用。虽然它是为基于云的系统而构建的,但也与许多本地应用程序兼容。

Okta最近在一篇博客文章中披露,美国的Okta客户在最近几周内报告了“跨租户冒充”攻击的“连续模式”,攻击者针对被分配“超级管理员”权限的用户。

文章中称:“威胁行为者似乎要么拥有特权用户账户的密码,要么能够在调用目标组织的IT服务台之前通过Active Directory(AD)操纵委托的身份验证流程,请求重置目标账户中的所有MFA因素。”文章归因于Okta的防御性网络操作团队。

然后,黑客使用匿名代理服务以及先前未与用户账户相关联的IP和设备来访问被攻破的账户,“滥用合法的身份联合功能,使他们能够在受损组织内冒充用户”,文章称。

黑客活动包括将更高的权限分配给其他账户;重置现有管理账户中的已注册验证器;以及在某些情况下,从认证策略中移除二次验证要求。这允许攻击者在企业云网络中进行横向移动并参与其他不正当活动。

操纵身份访问

威胁行为者滥用Okta中的Inbound Federation功能,该功能允许用户成功通过源Identity Provider(IdP)进行身份验证后,访问目标Identity Provider中的应用程序。

根据帖子内容,这一功能还可用于按需为用户提供设置,可“缩短合并、收购和拆分的时间”。它还受到需要进行集中控制或希望为全球一组应用程序提供自主权的大型组织的欢迎,同时也为其自己的政策和应用程序提供了自主权。

鉴于拥有此功能访问权限的人拥有的权力,该功能仅限于Okta组织中拥有最高权限的用户,被定义为Super Admin或Org Admin。帖子还提到,其中一个管理员还可以委派此角色给“自定义管理员”,以减少在大型复杂环境中拥有Super Admin权限的人数。

在攻击中,Okta观察到威胁行为者配置了第二个IdP,以充当“模拟应用程序”,以代表其他用户访问受损组织内的应用程序。第二个IdP在攻击者控制下充当目标内部联邦关系中的“源”IdP。

威胁行为者从“源”IdP中操作了第二个“源”IdP中的有针对性用户的用户名参数,使其与受损“目标”IdP中的实际用户匹配。这使他们能够使用单一登录以受损“目标”IdP中的有针对性用户身份访问应用程序。

保护高权限用户的访问权限

这些攻击凸显了保护IAM解决方案中高度特权帐户的访问权限之重要性,Okta提出了一系列建议,以帮助用户更好地在其IAM部署中保护这些帐户。事实上,在企业云环境中,跨多个工作人员的权限差异是一个常见问题。

Okta建议客户限制高度特权帐户的使用,为管理用户应用专用的访问策略,并监控并调查任何对特权用户保留的功能的可疑使用。

使用Okta的企业还可以配置该应用程序的身份验证策略,以获得对特权应用程序(包括管理控制台)的访问,要求在每次登录时进行重新验证,以更好地保护其环境。

此外,为了防止黑客针对帮助台人员以获取帐户的访问权限,Okta建议组织强化帮助台身份验证流程,采用视觉验证、授权工作流程(其中帮助台人员发出MFA挑战来验证用户身份)的组合,以及/或者需要用户的直线经理批准后才能重置因素的访问请求。

组织还应审查和限制Super Admin角色的使用,仅为其实施特权访问管理。根据Okta的说法,他们应该使用Custom Admin角色进行维护任务,并创建最低权限所需的帮助台角色,并将这些角色限制为不包括高度特权管理员的群组。

推荐阅读:

Peiter ‘Mudge’ Zatko担任CISA高级技术顾问一职

苹果手游代充灰色产业深度揭秘

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20