Xakep #305. Многошаговые SQL-инъекции
Компания Okta, являющаяся крупным поставщиком систем управления доступом и идентификацией, предупредила, что специалисты служб ИТ-поддержки в США подвергаются атакам. Хакеры вынуждают их сбросить многофакторную аутентификацию для пользователей с высокими привилегиями.
«В последние недели ряд клиентов Okta в США сообщают об атаках с использованием социальной инженерии, направленных на персонал служб ИТ-поддержки. Стратегия звонящих заключается в том, чтобы убедить сотрудника службы поддержки сбросить все факторы многофакторной аутентификации (МФА) для зарегистрированных высокопривилегированных пользователей», — сообщают в компании.
Если атака удалась, злоумышленники использовали привилегированные учетные записи супер-администраторов Okta, чтобы выдать себя за пользователей взломанной организации, задействуя анонимизирующие прокси, новый IP-адрес и новое устройство.
Хакеры использовали полученный доступ для повышения привилегий других учетных записей, сброса аутентификаторов, а также удаляли защиту двухфакторной аутентификации (2ФА) для некоторых аккаунтов.
По данным Okta, эта кампания была активна в период с 29 июля по 19 августа 2023 года.
Подчеркивается, что перед звонком в техподдержку целевой организации злоумышленники либо уже знали пароли от привилегированных учетных записей, либо могли подделать аутентификацию через Active Directory (AD).
«Также злоумышленники были замечены за настройкой второго Identity Provider для работы в режиме “имитации приложения” и доступа к приложениям скомпрометированной организации от имени других пользователей, — сообщается в предупреждении Okta. — Второй Identity Provider, контролируемый злоумышленником, выступал в качестве "исходного" IdP в отношениях с inbound-федерацией (иногда называемых Org2Org)».
Используя этот «исходный» IdP, хакеры изменяли имена пользователей, чтобы те соответствовали реальным пользователям скомпрометированного целевого IdP. Это позволило злоумышленникам выдать себя за целевого пользователя и получить доступ к приложениям с использованием механизма Single-Sign-On (SSO).
В качестве мер противодействия таким атакам Okta рекомендует клиентам внедрять устойчивую к фишингу аутентификацию, усилить процесс проверки личности пользователя в службе поддержки, включить уведомления о новых устройствах и подозрительной активности конечных пользователей, а также пересмотреть и ограничить использование ролей супер-администратора.