Kimlik ve erişim yönetimi çözümlerinin önde gelen tedarikçisi Okta, son birkaç haftadır müşterilerinin bir dizi karmaşık sosyal mühendislik saldırısının kurbanı olduğunu açıkladı.
Okta’nın güvenlik ekibi bir çalışma yürüttü ve tehdit aktörlerinin ayrıcalıklı hesaplara, özellikle de Süper Yönetici özelliklerine sahip hesaplara erişim sağlamak için sosyal mühendislik tekniklerini kullandığını tespit etti. Saldırganlar, BT yardım masasındaki çalışanları, yüksek ayrıcalıklı kullanıcılar tarafından kaydedilen tüm Çok Faktörlü Kimlik Doğrulama (MFA) faktörlerini sıfırlamaya ikna etmeyi başarıyor.
Bir saldırgan ayrıcalıklı bir hesaba erişim elde ettiğinde, onun için bir sonraki adım, yüksek ayrıcalıklı Okta Süper Yönetici hesaplarına nüfuz ederek yasal kimlik birleştirme yeteneklerini kötüye kullanmaktır. Bu, saldırgana ele geçirilen şirket içindeki kişilerin kimliğine bürünme yeteneği verir.
Tekli oturum açma erişimi, Okta’nın bir “hedef” kimlik sağlayıcısına bağlanan gelen federasyonunu kullanan güvenilir bir “kaynak” kimlik sağlayıcısından elde edilebilir. Saldırganlar önce kaynak gibi davranacakları kendi sahte kimlik sağlayıcılarını oluşturuyor, ardından kullanıcı adı parametresini saldırının hedefi olan şirketteki gerçek bir kullanıcıyla eşleşecek şekilde değiştiriyorlar. Bu güvenlik açığı nedeniyle meşru kullanıcıları taklit edebilir ve hedef şirket içindeki uygulamalara erişebilirler.
Taktikler, Teknikler ve Prosedürler
Okta Security aşağıdakileri içeren bir şüpheli davranış modeli tespit etti:
Hedeflenen bir kuruluştaki BT hizmet masasına telefon etmeden ve hedef hesaptaki tüm MFA faktörlerinin sıfırlanmasını talep etmeden önce, tehdit aktörlerinin ya a) ayrıcalıklı kullanıcı hesaplarına ait kimlik bilgilerine sahip olduğu ya da b) Active aracılığıyla devredilen kimlik doğrulama akışını etkileyebildiği görülüyordu. Dizin (AD). Her iki durumda da hedef hesaba erişmeyi başardılar. Okta müşterileri örneğinde, tehdit aktörü özellikle Süper Yöneticiye eşdeğer erişime sahip olan kişileri hedef aldı.
Saldırıya uğrayan kullanıcı hesabına erişmek için tehdit aktörü, anonimleştirici proxy hizmetlerinin yanı sıra daha önce kullanıcı hesabına bağlanmamış bir IP ve cihaz kullanacaktır.
Güvenliği ihlal edilmiş Süper Yönetici hesapları, diğer hesaplara daha fazla hak sağlamak ve/veya mevcut Yönetici hesaplarındaki kayıtlı kimlik doğrulayıcıları sıfırlamak için kullanıldı. Bu, diğer hesaplara daha yüksek ayrıcalıklar atanarak yapıldı. Kötü niyetli aktör, belirli durumlarda ikinci bir faktör gerektiren bazı kimlik doğrulama politikası kurallarının kaldırılmasından sorumluydu.
Tehdit aktörünün, güvenliği ihlal edilen Kuruluşta bulunan uygulamalara diğer kullanıcılar adına erişebilmesi için “kimliğe bürünme uygulaması” olarak çalışacak ikinci bir Kimlik Sağlayıcıyı ayarladığı keşfedildi. Saldırganın da kontrol ettiği bu ikinci Kimlik Sağlayıcı, hedef kuruluşla gelen federasyon ilişkisinde (“Org2Org” olarak da bilinir) bir “kaynak” IdP olarak işlev görür.
Tehdit aktörü, ikinci “kaynak” Kimlik Sağlayıcıdaki hedeflenen kullanıcılar için kullanıcı adı parametresini, ele geçirilen “hedef” Kimlik Sağlayıcıdaki gerçek bir kullanıcıyla eşleşecek şekilde değiştirdi. Bu manipülasyon bu “kaynak” Kimlik Sağlayıcıdan gerçekleştirildi. Bu, hedeflenen kullanıcı bağlamında hedef IdP içindeki uygulamalarda oturum açarken tek oturum açmanın veya SSO’nun kullanılmasını mümkün kıldı.
Okta’ya göre bu özel saldırı türü, daha önce gözlemlenmemiş “yeni yanal hareket ve savunmadan kaçınma yöntemleri” sergiliyor.
Kuruluş, müşterilerine bu tür saldırılara karşı kendilerini korumaları için bir dizi ipucu sundu. Bunlar arasında kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamanın (MFA) uygulanması, ayrıcalıklı hesapların yasaklanması, yönetim konsolları için yeniden kimlik doğrulamanın zorunlu kılınması ve olağandışı yönetim etkinliklerinin izlenmesi yer alıyor.
Nasıl korunuruz
Okta FastPass ve FIDO2 WebAuthn kullanarak kimlik avına karşı korumalı kimlik doğrulaması gerektirerek oturum açma süreçlerini koruyun.
Yönetici Konsolu gibi ayrıcalıklı uygulamalara erişim elde etmek için “her oturum açmada” yeniden kimlik doğrulama talep edecek şekilde Uygulama Oturum Açma İlkeleri olarak da bilinen Kimlik Doğrulama İlkelerini yapılandırmak gerekir.
Self servis kurtarmayı kullanacaksanız, kurtarma işlemini şu anda mevcut olan en güvenli kimlik doğrulayıcıyı (Okta Verify veya Google Authenticator) kullanarak başlattığınızdan emin olun ve kurtarma akışlarını yalnızca güvenilir ağlarla (IP, ASN, veya coğrafi konum).
Yardım masası çalışanlarının Uzaktan Yönetim ve İzleme (RMM) araçlarını kullanımı gözden geçirilmeli ve birleştirilmeli ve diğer RMM araçlarının çalıştırılması engellenmelidir.
Yardım masası kimlik doğrulama prosedürleri, görsel doğrulama, yardım masası çalışanlarının bir kullanıcının kimliğini doğrulamak için MFA sorgulamaları yaptığı yetkilendirilmiş İş Akışları ve/veya faktörler sıfırlanmadan önce kullanıcının bölüm yöneticisinin iznine ihtiyaç duyan Erişim İsteklerinin bir karışımı kullanılarak güçlendirilmelidir. Bu yöntemlerin hepsi bir arada kullanılmalıdır.
Yeni Cihaz ve Şüpheli Etkinlik için son kullanıcı uyarıları şu anda etkinleştirilmeli ve test edilmelidir.
Süper Yönetici Rollerinin kullanımını incelemek ve kısıtlamak önemlidir. Süper Yönetici erişimi için ayrıcalıklı erişim yönetimi (PAM) uygulanmalıdır. Bakım görevleri için Özel Yönetici Rolleri kullanılmalı ve yüksek riskli işler devredilmelidir.
Özel idari politikalar uygulanmalıdır. – Yöneticilerin kontrollü cihazları ve kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı (Okta FastPass, FIDO2 WebAuthn) kullanarak oturum açmasını talep etmek gerekir. Kısıtlamaya yalnızca güvenilir Ağ Bölgelerinde izin verilmeli ve anonimleştirici proxy’lerin erişimi reddedilmelidir.
Sosyal mühendislik hâlâ en yaygın saldırı vektörlerinden biri olsa da, ele geçirilen kimlik bilgilerinin verebileceği zarar, en az ayrıcalık ve çok faktörlü kimlik doğrulama gibi en iyi güvenlik uygulamalarına bağlı kalınarak hafifletilebilir. Bu olay, bir kuruluşun en hassas sistemlerine ve verilerine yetkisiz erişimi önlemek için ağ geçidi görevi gören yüksek ayrıcalıklı hesapların korunması ve izlenmesi gerekliliğinin altını çiziyor.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacısı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.