Octa mette in guardia contro attacchi di ingegneria sociale contro il personale dei servizi IT

Il fornitore di servizi di gestione delle identità e degli accessi Okta mette in guardia dai continui attacchi di ingegneria sociale contro i dipendenti dei reparti di servizi IT. Se gli attacchi avessero avuto successo, gli aggressori avrebbero potuto accedere ai ruoli più privilegiati dell’organizzazione cliente Okta. Gli autori malintenzionati hanno utilizzato nuovi metodi per spostarsi nella rete ed eludere il rilevamento. Tuttavia, i clienti possono proteggersi da questo ed esistono diversi modi per conoscere questi metodi.

annuncio

Attacchi Okta: indurre le vittime a reimpostare i fattori MFA

In L’avviso di sicurezza scrive octache molti clienti di Okta negli Stati Uniti hanno segnalato attacchi simili di ingegneria sociale. Gli aggressori prendono di mira il personale dei servizi IT, che i criminali informatici tentano di indurre con l’inganno a effettuare chiamate, costringendoli a reimpostare tutti gli MFA registrati per gli utenti con ampi diritti di accesso.

Gli aggressori abusano di questi accessi ad alto privilegio per utilizzare funzioni legittime di gestione delle identità per spacciarsi per altri utenti dell’organizzazione compromessa. Octa descrive anche gli attacchi in modo più specifico.

Tre autori malintenzionati disponevano di password per account privilegiati o erano in grado di manomettere l’autenticazione delegata in Active Directory (AD) prima di contattare il servizio IT dell’organizzazione presa di mira. Hanno quindi richiesto che tutti i fattori MFA fossero reimpostati per l’account interessato. Gli aggressori hanno preso di mira l’accesso utilizzando diritti di accesso di amministratore privilegiato.

movimento nella rete

L’accesso agli account compromessi veniva effettuato in questo modo anonimizzando gli agenti con indirizzi IP e dispositivi che non erano stati precedentemente utilizzati nell’ambito dell’account. Utilizzando i diritti dell’account amministratore privilegiato, gli aggressori concedono ad altri account diritti più elevati o reimpostano i fattori di autenticazione registrati sugli account amministratore esistenti e talvolta entrambi.

annuncio

In alcuni casi, gli aggressori hanno semplicemente disabilitato il requisito del secondo fattore di autenticazione nelle policy di autenticazione. Inoltre gli aggressori sono riusciti ad accedere alle applicazioni dell’organizzazione compromessa per conto di altri tramite provider di identità contrabbandati e manipolati tramite il sistema Single Sign-On.

Octa suggerisce alcune misure preventive. I clienti devono utilizzare metodi di autenticazione anti-phishing come il sistema interno “Fastpass” o affidarsi a FIDO2 WebAuthn (passkey). Nei criteri di autenticazione, tutte le applicazioni con i privilegi più elevati, inclusa la Console di amministrazione, devono essere configurate per richiedere la riautenticazione a ogni accesso. Per il ripristino self-service, i responsabili IT devono fare affidamento sugli strumenti di autenticazione più potenti possibili, Okta Verifiy o Google Authenticator. Inoltre, il ripristino dovrebbe essere limitato a reti conosciute e affidabili, come IP, ASN o Geo-IP.

Nell’avviso di sicurezza, Okta fornisce ulteriori consigli su come individuare gli attacchi. Esistono anche altri indicatori di attacchi riusciti (Indicatori di compromesso, IOC).

All’inizio dell’anno scorso, Okta è stata vittima di una violazione informatica presso il fornitore di servizi che serve i clienti dell’azienda. All’inizio sembrava che il problema riguardasse diverse centinaia di altri clienti, ma alla fine probabilmente sono rimasti solo due. Poco prima dell’inizio dell’anno gli aggressori sono riusciti ad accedere anche al codice sorgente dell’azienda su Github e lo hanno copiato. Okta ha spiegato che non si tratta di un problema di sicurezza perché l’azienda non fa affidamento sulla riservatezza del codice sorgente per garantire i propri servizi.

(il tuo sangue)