Okta : les clients visés par une nouvelle vague d’attaques en ingénierie sociale

Le spécialiste de la gestion des identités et des accès (IAM) Okta vient de mettre en garde ses clients contre une campagne de cyberattaques en cours dans laquelle un acteur inconnu utilise l’ingénierie sociale pour détourner des rôles à privilèges élevés dans leurs tenants Okta.

Selon l’éditeur, au cours des deux dernières semaines, plusieurs de ses clients basés aux États-Unis ont signalé un schéma cohérent d’attaques en ingénierie sociale contre leurs services de service informatique : des employés ont été convaincus de réinitialiser l’authentification à facteurs multiples (MFA) d’Okta, enregistrée par des utilisateurs à privilèges élevés, des titulaires de comptes dits Okta Super Administrateur, qui, entre autres, permettent de créer de nouveaux administrateurs et de modifier et révoquer des privilèges.

La campagne n’a pas été officiellement attribuée, mais l’acteur malveillant impliqué semble être très organisé, car il disposait déjà des mots de passe des principaux comptes d’administrateur avant d’appeler le service d’assistance, ou a pu manipuler les flux d’authentification délégués via AD. Pour brouiller les pistes, il a utilisé des services proxy anonymes, des adresses IP et des appareils non associés aux comptes visés.

Une fois entre les mains des attaquants, les comptes de super administrateur visés ont été utilisés pour exploiter des fonctions légitimes de fédération d’identité – conçues pour permettre un provisionnement rapide dans les grandes organisations ou lors de scénarios de fusion et d’acquisition – afin d’attribuer des privilèges plus élevés à d’autres comptes et de réinitialiser les authentificateurs dans les comptes d’administrateur existants. Dans quelques cas, l’acteur malveillant a même supprimé les exigences MFA des politiques d’authentification.

D’autres applications ont également été visées, en créant des comptes de fournisseurs d’identité compromis, une capacité également accordée via leurs droits de super administrateur.

Dans son alerte, Okta relève que « ces attaques récentes soulignent en quoi la protection de l’accès aux comptes à privilèges élevés est si essentielle ».

Et de recommander à ses clients « de mettre en œuvre nos méthodes d’enrôlement, d’authentification et de récupération résistantes à l’hameçonnage, de restreindre l’utilisation des comptes à privilèges élevés, d’appliquer des politiques d’accès dédiées aux utilisateurs administratifs et de surveiller et d’enquêter sur l’utilisation anormale des fonctions réservées aux utilisateurs privilégiés ».

Un ensemble plus détaillé de recommandations, ainsi que des indicateurs de compromission ont également été publiés par Okta.

Ce n’est pas la première fois que des attaquants cherchent à contourner les mécanismes d’authentification à facteurs multiples. Okta lui-même avait déjà lancé l’alerte à l’automne 2022.

L’équipe Auth0 d’Okta a précédemment observé deux techniques de contournement de la MFA : l’attaque en force brute et la tentative de deviner le code à usage unique, ou le recours à l’ingénierie sociale pour inciter un utilisateur ciblé à générer le code et à approuver une demande d’accès frauduleuse.

Dans ce dernier cas, les attaquants cherchent surtout à fatiguer leur cible en la noyant sous les demandes répétées de code – prétendant souvent provenir du personnel informatique ou d’assistance – via des SMS ou d’autres outils de messagerie. Finalement, l’utilisateur cède et approuve le défi MFA, ce qui permet à l’attaquant d’accéder au système.

Une approche comparable a été employée par le groupe Lapsus$ contre Uber et Rockstar Games, mais pas pour pousser un utilisateur final à approuver un challenge MFA : pour obtenir d’un membre de l’équipe IT l’enrôlement d’un terminal étranger dans le système d’authentification forte.