.
Imagens Getty
O serviço de autenticação Okta disse que quatro de seus clientes foram atingidos em uma recente campanha de engenharia social que permitiu que hackers obtivessem o controle de contas de superadministradores e, a partir daí, enfraquecessem ou removessem totalmente a autenticação de dois fatores, protegendo as contas contra acesso não autorizado.
As contas de superadministrador do Okta são atribuídas aos usuários com as permissões mais altas dentro de uma organização que usa o serviço do Okta. Nas últimas semanas, o pessoal de TI dos clientes da Okta recebeu ligações que seguem um padrão consistente de engenharia social, em que os invasores se passam por membros da empresa na tentativa de enganar os funcionários para que divulguem senhas ou façam outras coisas perigosas. Os invasores, neste caso, ligam para o pessoal do service desk e tentam convencê-los a redefinir todos os fatores de autenticação multifatorial atribuídos a superadministradores ou outros usuários altamente privilegiados, disse Okta recentemente.
A autenticação de dois fatores e a autenticação multifator, geralmente abreviada como 2FA e MFA, exigem biometria, posse de uma chave de segurança física ou conhecimento de uma senha de uso único, além de uma senha normalmente usada para acessar uma conta.
Direcionando usuários com as permissões mais altas
Quando bem-sucedidos, os invasores usaram as contas de superadministrador comprometidas para atribuir privilégios mais altos a outras contas e/ou redefinir autenticadores registrados em contas de administrador existentes. Em alguns casos, o agente da ameaça também removeu os requisitos de segundo fator das políticas de autenticação. O agente da ameaça também atribuiu um novo aplicativo para acessar recursos dentro da organização comprometida. Esses “aplicativos de representação” foram criados após registrar um novo provedor de identidade, que os clientes integram em suas contas Okta.
“Dado o quão poderoso isso é, o acesso para criar ou modificar um provedor de identidade é limitado aos usuários com as permissões mais altas em uma organização Okta – superadministrador ou administrador da organização”, escreveram funcionários da Okta. “Ele também pode ser delegado a uma função administrativa personalizada para reduzir o número de superadministradores necessários em ambientes grandes e complexos. Esses ataques recentes destacam por que proteger o acesso a contas altamente privilegiadas é tão essencial.”
Um representante da Okta, citando o diretor de segurança da empresa, David Bradbury, disse por e-mail que quatro clientes foram afetados no período de três semanas, de 29 de julho, quando a empresa começou a rastrear a campanha, até 19 de agosto. Bradbury não deu mais detalhes.
Ataques como os aqui são graves porque as empresas de autenticação muitas vezes mantêm ou protegem múltiplas credenciais de alto privilégio dentro de organizações confidenciais. A violação do provedor 2FA Twilio no ano passado, por exemplo, permitiu que os invasores hackeassem pelo menos 136 clientes da empresa.
Como foi o caso naquela campanha, os invasores que visam os clientes da Okta têm bons recursos. Em alguns casos, eles já possuíam senhas para contas de alto acesso. Em outros, eles conseguiram alterar o fluxo de autenticação do Active Directory dos clientes, que é federado pelo Okta. Para completar o comprometimento, os invasores primeiro precisavam enganar os clientes para que reduzissem as proteções de MFA que estavam em seu caminho.
A postagem do Okta resumiu as técnicas, táticas e procedimentos do invasor desta forma:
- O autor da ameaça acessaria a conta comprometida usando serviços de proxy anônimos e um IP e um dispositivo não associados anteriormente à conta do usuário.
- Contas de superadministrador comprometidas foram usadas para atribuir privilégios mais altos a outras contas e/ou redefinir autenticadores registrados em contas de administrador existentes. Em alguns casos, o agente da ameaça removeu os requisitos do segundo fator das políticas de autenticação.
- O autor da ameaça foi observado configurando um segundo provedor de identidade para atuar como um “aplicativo de representação” para acessar aplicativos dentro da organização comprometida em nome de outros usuários. Este segundo Provedor de Identidade, também controlado pelo invasor, atuaria como um IdP de “fonte” em um relacionamento de federação de entrada (às vezes chamado de “Org2Org”) com o alvo.
- A partir desse IdP de “origem”, o agente da ameaça manipulou o parâmetro de nome de usuário dos usuários-alvo no segundo Provedor de Identidade “de origem” para corresponder a um usuário real no Provedor de Identidade “alvo” comprometido. Isso proporcionou a capacidade de login único (SSO) em aplicativos no IdP de destino como usuário de destino.
A postagem forneceu uma lista de endereços IP e outros rastros deixados pelos invasores. Os clientes Okta podem usar os indicadores de comprometimento para detectar se foram alvo da mesma campanha. Okta não identificou os quatro clientes afetados nem disse o que os invasores poderiam fazer quando tivessem acesso aos recursos do cliente. Com base no hack do Twilio e nos recursos dos invasores, não seria surpreendente se o número de clientes afetados aumentasse nos próximos dias.
.
