
La société de gestion des identités et des accès Okta a publié un avertissement concernant les attaques d’ingénierie sociale ciblant les agents du centre de services informatiques de clients basés aux États-Unis dans le but de les inciter à réinitialiser l’authentification multifacteur (MFA) pour les utilisateurs disposant de privilèges élevés.
L’objectif des attaquants était de détourner les comptes Okta Super Administrator hautement privilégiés pour accéder et abuser des fonctionnalités de fédération d’identité qui permettaient de se faire passer pour les utilisateurs de l’organisation compromise.
Okta a fourni des indicateurs de compromission pour les attaques observées entre le 29 juillet et le 19 août.
La société affirme qu’avant d’appeler le service d’assistance informatique d’une organisation cible, l’attaquant disposait de mots de passe pour des comptes privilégiés ou était capable de falsifier le flux d’authentification via Active Directory (AD).
Après la compromission réussie d’un compte super-administrateur, l’acteur malveillant a utilisé des services proxy anonymisés, une nouvelle adresse IP et un nouvel appareil.
Les pirates ont utilisé leur accès administrateur pour élever les privilèges d’autres comptes, réinitialiser les authentificateurs inscrits et ont également supprimé la protection d’authentification à deux facteurs (2FA) pour certains comptes.
« L’acteur malveillant a été observé en train de configurer un deuxième fournisseur d’identité pour agir comme une « application d’usurpation d’identité » pour accéder aux applications de l’organisation compromise au nom d’autres utilisateurs. Ce deuxième fournisseur d’identité, également contrôlé par l’attaquant, agirait comme une « source ». IdP dans une relation de fédération entrante (parfois appelée « Org2Org ») avec la cible » – Okta
À l’aide de l’IdP source, les pirates ont modifié les noms d’utilisateur afin qu’ils correspondent aux utilisateurs réels de l’IdP cible compromis. Cela leur a permis de se faire passer pour l’utilisateur cible et a fourni un accès aux applications à l’aide du mécanisme d’authentification Single-Sign-On (SSO).
Pour protéger les comptes d’administrateur des acteurs externes, Okta recommande les mesures de sécurité suivantes :
- Appliquez une authentification résistante au phishing à l’aide d’Okta FastPass et FIDO2 WebAuthn.
- Exigez une réauthentification pour l’accès privilégié aux applications, y compris la console d’administration.
- Utilisez des authentificateurs puissants pour une récupération en libre-service et limitez-vous aux réseaux de confiance.
- Rationalisez les outils de gestion et de surveillance à distance (RMM) et bloquez ceux non autorisés.
- Améliorez la vérification du service d’assistance grâce à des contrôles visuels, des défis MFA et des approbations des responsables.
- Activez et testez les alertes pour les nouveaux appareils et les activités suspectes.
- Limitez les rôles de super-administrateur, mettez en œuvre la gestion des accès privilégiés et déléguez les tâches à haut risque.
- Obligez les administrateurs à se connecter à partir d’appareils gérés avec une MFA résistante au phishing et limitez l’accès aux zones de confiance.
L’avis d’Okta comprend des indicateurs supplémentaires de compromission, tels que des événements de journaux système et des modèles de flux de travail pointant vers une activité malveillante à différentes étapes de l’attaque. La société fournit également un ensemble d’adresses IP associées aux attaques observées entre le 29 juin et le 19 août.