Der Identitäts- und Zugangsverwaltungs-Dienstleister Okta warnt vor aktuell laufenden Social-Engineering-Angriffen auf Mitarbeiter von IT-Service-Abteilungen. Angreifer hätten sich bei erfolgreichen Attacken Zugang zu Rollen mit höheren Rechten bei einer Okta-Kundenorganisation verschafft. Dabei hätten die bösartigen Akteure neuartige Methoden zur Fortbewegung im Netzwerk und zur Erkennungsumgehung genutzt. Davor könnten sich Kunden jedoch schützen und es gebe mehrere Möglichkeiten, diese Methoden zu erkennen. Anzeige Okta-Attacken: Opfer zum Zurücksetzen von MFA-Faktoren verleitet In der Sicherheitswarnung schreibt Okta, dass mehrere Okta-Kunden aus den USA von ähnlichen Social-Engineering-Angriffen berichteten. Im Visier der Angreifer ist IT-Service-Personal, das die Cyberkriminellen bei Anrufen zu überrumpeln versuchen, sodass diese alle angemeldeten Multi-Faktor-Authentifizierungs-Faktoren (MFA) von Nutzern mit weitreichenden Zugriffsrechten zurücksetzen. Diese hoch privilegierten Zugänge missbrauchen die Angreifer demnach, um sich mit den legitimen Identitäts-Verwaltungsfunktionen als andere Nutzerinnen und Nutzer der kompromittierten Organisation auszugeben. Okta beschreibt die Angriffe auch konkreter. Drei bösartige Akteure hatten Passwörter zu Zugängen mit weitreichenden Rechten oder konnten delegierte Authentifizierung im Active Directory (AD) manipulieren, bevor sie beim IT-Service der anvisierten Organisation angerufen haben. Dort verlangten sie dann das Zurücksetzen aller MFA-Faktoren für das betroffene Konto. Die Angreifer hatten dabei Zugänge mit Super-Administrator-Zugriffsrechten anvisiert. Fortbewegung im Netzwerk Zugriffe auf die so kompromittierten Konten fand durch anonymisierende Proxies mit zuvor im Kontext des Kontos nicht genutzten IP-Adressen und Geräten statt. Mit den Rechten des Super-Administrator-Kontos vergaben die Angreifer anderen Konten höhere Rechte oder setzten die registrierten Authentifizierungsfaktoren von existierenden Administratorkonten zurück, teils auch beides. Anzeige In einigen Fällen haben die Angreifer schlicht die Anforderung eines zweiten Faktors zur Authentifizierung in den Authentifizierungsrichtlinien deaktiviert. Zudem haben Angreifer sich Zugang mit eingeschleusten, manipulierten Identity Providern über das Single-Sign-on-System auf Anwendungen der kompromittierten Organisation im Namen anderer Zugänge verschafft. Okta schlägt einige Präventionsmaßnahmen vor. Kunden sollten Phishing-resistente Authentifizierungsmethoden wie das hauseigene "Fastpass"-System nutzen, oder auf FIDO2 WebAuthn (Passkeys) setzen. In den Authentifizierungsrichtlinien sollten alle Anwendungen mit höheren Privilegien, einschließlich der Admin-Konsole, so konfiguriert werden, dass sie bei jedem Sign-in erneute Authentifizierung verlangen. Für die "Selbstbedienungs-Wiederherstellung" sollten IT-Verantwortliche auf die stärkstmöglichen Authenticators setzen, namentlich Okta Verifiy oder Google Authenticator. Zudem solle die Wiederherstellung auf vertrauenswürdige, bekannte Netzwerke beschränkt bleiben, etwa über die IP, ASN-Netzwerk oder Geo-IP. In der Sicherheitswarnung nennt Okta weitere Hinweise, wie sich Angriffe erkennen lassen. Zudem finden sich dort auch weitere Indizien für erfolgreiche Attacken (Indicators of Compromise, IOCs). Anfang vergangenen Jahres wurde Okta Opfer eines Cybereinbruchs bei einem Dienstleister, der Kunden des Unternehmens betreut. Zunächst schien es, als ob das mehrere hundert weitere Kunden betroffen habe, am Ende waren es jedoch wohl lediglich zwei. Kurz vor dem Jahreswechsel konnten zudem Angreifer auf den Quellcode des Unternehmens auf Github zugreifen und ihn kopieren. Okta erklärte dazu, dass dies kein Sicherheitsproblem darstelle, da sich das Unternehmen für die Sicherheit seiner Dienste nicht auf die Vertraulichkeit des Quellcodes verlasse. (dmk) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Der Identitäts- und Zugangsverwaltungs-Dienstleister Okta warnt vor aktuell laufenden Social-Engineering-Angriffen auf Mitarbeiter von IT-Service-Abteilungen. Angreifer hätten sich bei erfolgreichen Attacken Zugang zu Rollen mit höheren Rechten bei einer Okta-Kundenorganisation verschafft. Dabei hätten die bösartigen Akteure neuartige Methoden zur Fortbewegung im Netzwerk und zur Erkennungsumgehung genutzt. Davor könnten sich Kunden jedoch schützen und es gebe mehrere Möglichkeiten, diese Methoden zu erkennen. Anzeige Okta-Attacken: Opfer zum Zurücksetzen von MFA-Faktoren verleitet In der Sicherheitswarnung schreibt Okta, dass mehrere Okta-Kunden aus den USA von ähnlichen Social-Engineering-Angriffen berichteten. Im Visier der Angreifer ist IT-Service-Personal, das die Cyberkriminellen bei Anrufen zu überrumpeln versuchen, sodass diese alle angemeldeten Multi-Faktor-Authentifizierungs-Faktoren (MFA) von Nutzern mit weitreichenden Zugriffsrechten zurücksetzen. Diese hoch privilegierten Zugänge missbrauchen die Angreifer demnach, um sich mit den legitimen Identitäts-Verwaltungsfunktionen als andere Nutzerinnen und Nutzer der kompromittierten Organisation auszugeben. Okta beschreibt die Angriffe auch konkreter. Drei bösartige Akteure hatten Passwörter zu Zugängen mit weitreichenden Rechten oder konnten delegierte Authentifizierung im Active Directory (AD) manipulieren, bevor sie beim IT-Service der anvisierten Organisation angerufen haben. Dort verlangten sie dann das Zurücksetzen aller MFA-Faktoren für das betroffene Konto. Die Angreifer hatten dabei Zugänge mit Super-Administrator-Zugriffsrechten anvisiert. Fortbewegung im Netzwerk Zugriffe auf die so kompromittierten Konten fand durch anonymisierende Proxies mit zuvor im Kontext des Kontos nicht genutzten IP-Adressen und Geräten statt. Mit den Rechten des Super-Administrator-Kontos vergaben die Angreifer anderen Konten höhere Rechte oder setzten die registrierten Authentifizierungsfaktoren von existierenden Administratorkonten zurück, teils auch beides. Anzeige In einigen Fällen haben die Angreifer schlicht die Anforderung eines zweiten Faktors zur Authentifizierung in den Authentifizierungsrichtlinien deaktiviert. Zudem haben Angreifer sich Zugang mit eingeschleusten, manipulierten Identity Providern über das Single-Sign-on-System auf Anwendungen der kompromittierten Organisation im Namen anderer Zugänge verschafft. Okta schlägt einige Präventionsmaßnahmen vor. Kunden sollten Phishing-resistente Authentifizierungsmethoden wie das hauseigene "Fastpass"-System nutzen, oder auf FIDO2 WebAuthn (Passkeys) setzen. In den Authentifizierungsrichtlinien sollten alle Anwendungen mit höheren Privilegien, einschließlich der Admin-Konsole, so konfiguriert werden, dass sie bei jedem Sign-in erneute Authentifizierung verlangen. Für die "Selbstbedienungs-Wiederherstellung" sollten IT-Verantwortliche auf die stärkstmöglichen Authenticators setzen, namentlich Okta Verifiy oder Google Authenticator. Zudem solle die Wiederherstellung auf vertrauenswürdige, bekannte Netzwerke beschränkt bleiben, etwa über die IP, ASN-Netzwerk oder Geo-IP. In der Sicherheitswarnung nennt Okta weitere Hinweise, wie sich Angriffe erkennen lassen. Zudem finden sich dort auch weitere Indizien für erfolgreiche Attacken (Indicators of Compromise, IOCs). Anfang vergangenen Jahres wurde Okta Opfer eines Cybereinbruchs bei einem Dienstleister, der Kunden des Unternehmens betreut. Zunächst schien es, als ob das mehrere hundert weitere Kunden betroffen habe, am Ende waren es jedoch wohl lediglich zwei. Kurz vor dem Jahreswechsel konnten zudem Angreifer auf den Quellcode des Unternehmens auf Github zugreifen und ihn kopieren. Okta erklärte dazu, dass dies kein Sicherheitsproblem darstelle, da sich das Unternehmen für die Sicherheit seiner Dienste nicht auf die Vertraulichkeit des Quellcodes verlasse. (dmk) Zur Startseite