La società di gestione dell’identità e dell’accesso, Okta, ha emesso un avviso riguardo attacchi di ingegneria sociale che mirano agli agenti dei desk di assistenza IT presso clienti statunitensi. L’obiettivo degli attacchi è ingannare gli agenti nel resettare l’autenticazione multifattore (MFA) per utenti con privilegi elevati.
Un attacco mirato e sofisticato
Gli aggressori mirano a prendere il controllo degli account di Super Amministratore di Okta per accedere e abusare delle funzioni di federazione dell’identità, permettendo loro di impersonare gli utenti dell’organizzazione compromessa. Prima di contattare il desk di assistenza IT di un’organizzazione target, l’attaccante aveva già le password per gli account privilegiati o era in grado di manipolare il flusso di autenticazione attraverso l’Active Directory (AD). Una volta compromesso con successo un account di Super Amministratore, l’attaccante utilizzava servizi proxy per l’anonimato, un nuovo indirizzo IP e un nuovo dispositivo.
Modus Operandi degli Hacker
Gli hacker, utilizzando il loro accesso amministrativo, elevavano i privilegi per altri account, resettavano gli autenticatori registrati e, in alcuni casi, rimuovevano la protezione dell’autenticazione a due fattori (2FA) per alcuni account. Configuravano un secondo fornitore di identità per agire come un “app di impersonazione” per accedere alle applicazioni all’interno dell’organizzazione compromessa per conto di altri utenti. Questo secondo fornitore di identità, anch’esso controllato dall’attaccante, fungeva da fornitore di identità “sorgente” in una relazione di federazione in entrata, permettendo loro di impersonare l’utente target e ottenere l’accesso alle applicazioni utilizzando il meccanismo di autenticazione Single-Sign-On (SSO).
Misure di Sicurezza Consigliate da Okta
Per proteggere gli account amministrativi da attori esterni, Okta raccomanda una serie di misure di sicurezza, tra cui l’implementazione di autenticazione resistente al phishing utilizzando Okta FastPass e FIDO2 WebAuthn, richiedendo la re-autenticazione per l’accesso a applicazioni privilegiate, e l’uso di autenticatori forti per il recupero self-service, limitando l’accesso solo a reti fidate. Okta suggerisce anche di migliorare la verifica del desk di assistenza con controlli visivi, sfide MFA, e approvazioni del manager, oltre ad attivare e testare allarmi per nuovi dispositivi e attività sospette.