Barracuda full logo

Cybersecurity-Bedrohungshinweis: Social Engineering-Angriffe auf Okta

Themen:
7. Sept.. 2023
|

Im heutigen Cybersecurity-Bedrohungshinweis steht das Unternehmen Okta im Mittelpunkt, das in den letzten Wochen Social-Engineering Angriffe von Bedrohungsakteuren erlebt hat, die darauf abzielten, Rollen mit hohen Berechtigungen innerhalb der Konten von Okta zu erlangen. Das Unternehmen hat vor Social-Engineering-Angriffen gewarnt, die auf IT-Servicedesk-Mitarbeitende von in den USA ansässigen Organisationen abzielen. Ziel dieser Angriffe ist es, Organisationen dazu zu verleiten, die Multifaktor-Authentifizierung (MFA) für Benutzer mit hohen Berechtigungen zurückzusetzen.

Welcher Art ist die Bedrohung?

Social Engineering ist der Einsatz von Täuschung, um Einzelpersonen zu manipulieren, vertrauliche oder persönliche Informationen preiszugeben, die für betrügerische Zwecke verwendet werden können. Das Ziel der Angreifer ist es, die Konten von Okta-Superadministratoren mit hohen Berechtigungen zu kapern, um Zugriff auf Identity Federation-Funktionen zu erhalten und diese zu missbräuchlich zu verwenden. Laut Okta hat der Angreifer, bevor er den IT-Servicedesk einer Zielorganisation anruft, entweder Passwörter für privilegierte Konten oder kann den Authentifizierungsfluss über das Active Directory (AD) manipulieren.

Warum sollte man aufmerksam sein?

Bedrohungsakteure scheinen entweder a) Passwörter für privilegierte Benutzerkonten zu haben oder b) den delegierten Authentifizierungsfluss über AD manipulieren zu können, bevor sie den IT-Servicedesk in einer anvisierten Organisation anrufen. Dann fordern sie ein Zurücksetzen aller MFA-Faktoren für das größte Konto. Im Fall von Okta zielte der Bedrohungsakteur auf Benutzer mit zugewiesenen Berechtigungen als Superadministrator ab. Die Hacker nutzten ihren Admin-Zugriff, um die Berechtigungen für andere Konten zu erhöhen, registrierte Authentifikatoren zurückzusetzen und den Zwei-Faktor-Authentifizierungsschutz (2FA) für einige Konten zu entfernen.

Wie hoch ist Risiko einer Exposition?

Laut Okta wurde beobachtet, dass die Bedrohungsakteure einen zweiten Identitätsanbieter (IdP) so konfigurierten, dass er als „Identitätsmissbrauchs-App“ fungierte, um im Namen anderer Benutzer auf Anwendungen innerhalb der kompromittierten Organisation zuzugreifen. Dieser zweite Identitätsanbieter, der ebenfalls vom Angreifer kontrolliert wird, soll als „Quell“-Identitätsanbieter in einer eingehenden Föderationsbeziehung (manchmal auch „Org2Org“ genannt) mit dem Angriffsziel agieren. Mit dem Quell-Identitätsanbieters änderten die Hacker die Benutzernamen so, dass sie mit den tatsächlichen Benutzern im kompromittierten Ziel-IdP übereinstimmten, damit sie sich als Zielbenutzer ausgeben und über den SSO-Authentifizierungsmechanismus (Single Sign-On) Zugriff auf Anwendungen erteilen konnten.

Welche Empfehlungen haben Sie?

Barracuda empfiehlt die folgenden Maßnahmen, um die Auswirkungen externer Faktoren auf Administratorkonten zu begrenzen:

  • Erzwingen Sie eine phishingresistente Authentifizierung mit Okta FastPass und FIDO Web2Authn.
  • Verlangen Sie eine erneute Authentifizierung für den Zugriff auf privilegierte Apps, einschließlich der Admin Konsole.
  • Verwenden Sie starke Authentifikatoren für die Self-Service-Wiederherstellung und beschränken Sie sich auf vertrauenswürdige Netzwerke.
  • Optimieren Sie Tools zur Fernüberwachung und -management (RMM) und blockieren Sie nicht autorisierte Tools.
  • Verbessern Sie die Helpdesk-Verifizierung mit visuellen Prüfungen, MFA-Herausforderungen und Manager-Genehmigungen.
  • Aktivieren und testen Sie Warnmeldungen für neue Geräte und verdächtige Aktivitäten.
  • Schränken Sie Superadministrator-Rollen ein, implementieren Sie die Verwaltung privilegierter Zugriffe und delegieren Sie risikoreiche Aufgaben.
  • Weisen Sie Administratoren an, sich über verwaltete Geräte mit phishingresistenter MFA anzumelden, und beschränken Sie den Zugriff auf vertrauenswürdige Zonen.
  • Aktivieren und testen Sie Endbenutzerbenachrichtigungen für neue Geräte und verdächtige Aktivitäten.
  • Überprüfen und begrenzen Sie die Verwendung von Superadministrator-Rollen – Implementieren Sie Privileged Access Management (PAM) für den Superadministrator-Zugriff und verwenden Sie benutzerdefinierte Admin-Rollen für Wartungsaufgaben und delegieren Sie die Möglichkeit, risikoreiche Aufgaben durchzuführen.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

 

Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.