Okta heeft Amerikaanse klanten gewaarschuwd voor aanvallen die plaatsvinden bij IT-helpdesks van hun klanten. De aanvallers hebben het gemunt op Okta Super Administrator Accounts, waarmee een bedrijf op een ernstige manier gecompromitteerd wordt.
Concreet proberen de kwaadwillenden IT-helpdesks aan te sporen om MFA (multi-factor authentication) te resetten voor accounts met hoge privileges. Deze accounts kunnen vervolgens overgenomen worden met deze authenticatiemethode, waarna het mogelijk is om de gebruikers in kwestie na te doen binnen een organisatie. Okta ontdekte voorvallen van deze cyber-incidenten tussen 29 juli en 19 augustus.
Hoe het werkt
Een dergelijk cyber-incident voor Okta-klanten begint niet bij het bellen van de helpdesk. Daarvoor heeft de hacker al wachtwoorden van geprivilegieerde accounts te pakken gekregen of een authenticatiekwetsbaarheid bij Azure Active Directory geëxploiteerd.
Lees ook: ‘327 keer meer kans dat hackers snel handelen bij bugs met hoge CVE-score’
Een telefoongesprek met de helpdesk leidt vervolgens tot het compromitteren van een Super Admin-account. Daarna maakt de aanvaller gebruik van proxyservices, een nieuw IP-adres en een nieuw apparaat om ongedetecteerd te blijven.
Wie een Super Admin-account bezit, kan daarna sleutelen aan de geaccepteerde authenticator-oplossingen of 2FA-bescherming verwijderen van sommige accounts wegnemen.
Bescherming
Okta heeft tot nu toe alleen aanvallen in de VS genoemd, maar natuurlijk zouden dergelijke misleidingen ook elders kunnen plaatsvinden. Om schade te voorkomen, raadt Okta aan om Okta FastPass en FIDO2 WebAuthn in te zetten. Deze inlogmethodes karakteriseert het bedrijf als “phishing-resistent”. Daarnaast moeten organisaties authentication-policies inzetten die bij elke inlogpoging opnieuw authenticatie vereisen.
Ook moeten herstelmogelijkheden beperkt worden tot Okta Verify en Google Authenticator, terwijl herstelpogingen alleen toegestaan moeten worden op trusted networks. Organisaties moeten RMM (Remote Management & Monitoring)-tools zoveel mogelijk aan banden leggen, met enkel vertrouwde applicaties die uitgevoerd mogen worden.
Uiteindelijk is het advies om Super Administrator-roles zoveel mogelijk te beperken, het meest voor de hand liggende redmiddel. Immers kan een misleide medewerker bij een IT-helpdesk dan niet onbedoeld voor extra schade zorgen.