テナント間のなりすまし: 防止と検知
概要
- Oktaは、脅威者がソーシャルエンジニアリングを利用してOkta Org(テナント)の高度な特権を獲得する攻撃を確認しています。
- 成功した場合、脅威者は新たな手法でラテラルムーブメントと防御回避を行いました。
- これらの手法は防ぐことが可能であり、防御側には複数の検知の機会があります。
ここ数週間、米国に拠点を置く複数のOkta顧客から、ITサービスデスク担当者に対する一貫したパターンのソーシャルエンジニアリング攻撃が報告されています。攻撃者の戦略は、サービスデスクの担当者に、高度な特権を持つユーザーが登録したすべての多要素認証(MFA)の要素をリセットするよう説得することでした。
攻撃者はその後、高度な特権を持つOktaスーパー管理者アカウントの侵害を利用して、正当なアイデンティティフェデレーション機能を悪用し、侵害された組織内のユーザーになりすましました。
戦術、技術、手順(TTP)
Oktaセキュリティは、以下のような一連の活動を確認しました。
- 脅威者は、ターゲットOrgの IT サービスデスクに電話をする前に、a) 特権ユーザーアカウントのパスワードを知っていたか、b) Active Directory (AD) 経由の委任認証フローを操作することが可能であったように思われ、ターゲットアカウントのすべての MFA 要素のリセットを要求していた。Oktaの顧客の場合、脅威者はスーパー管理者権限を付与されたユーザーを標的とした。
- 脅威者は、匿名化されたプロキシサービスとIP、以前は関連付けられていなかったデバイスを使用して、侵害されたユーザーアカウントにアクセスした。
- 侵害されたスーパー管理者アカウントは、他のアカウントに高い特権を割り当てたり、既存の管理者アカウントに登録されている認証機能をリセットするために使用された。場合によっては、脅威者は認証ポリシーから第 2 要素の要件を削除した。
- 脅威者は、侵害された Org 内のアプリケーションに他のユーザーに代わってアクセスする「なりすましアプリ」 として機能するように、2 つ目のIdPを設定することが観察された。この2つ目のIdPも脅威者によって制御され、ターゲットとのインバウンドフェデレーション関係(「Org2Org」と呼ばれることもある)でソースIdP として動作した。
- 脅威者は、このソースIdPから侵害されたターゲットIdPの実際のユーザーと一致するように、2 つ目のソースIdPのターゲットユーザーのユーザー名パラメータを操作した。これにより、ターゲットユーザーとしてターゲットIdP のアプリケーションにシングルサインオン(SSO)する機能が提供された。
インバウンドフェデレーションとは
インバウンドフェデレーションは、ユーザーがソースIdPで認証に成功した場合、ターゲットIdPのアプリケーションにアクセスできるようにします。この機能は、ユーザーのジャストインタイム(JIT)プロビジョニングにも使用できます。これは、合併、買収、分割を数カ月短縮するために使用される機能です。また、グローバルな親会社のような大規模な組織で、一元管理を必要としたり、1セットのアプリケーションをグローバルにプロビジョニングしたりする場合にもよく使われる機能です。
これがいかに強力であるかを考えると、IdPの作成または変更へのアクセスは、Okta Orgで最高の特権を持つユーザー(スーパー管理者またはOrg管理者)に限定されます。また、大規模で複雑な環境で必要なスーパー管理者の数を減らすために、カスタム管理者ロールに委任することもできます。
最近の攻撃は、高度な特権を持つアカウントへのアクセスを保護することが非常に重要である理由を浮き彫りにしています。
防止策
今回の不正侵入の分析に基づき、登録、認証、リカバリに業界トップクラスの耐フィッシング性を備えた手法の導入、高度な特権アカウント使用の制限、管理者ユーザー専用のアクセスポリシーの適用、特権ユーザーに与えられた機能の異常な使用の監視と調査をOktaの顧客に推奨します。
より詳細な推奨事項は以下の通りです。
- Okta FastPassとFIDO2 WebAuthnを使用してフィッシングに強い認証を実施し、サインインフローを保護する。
- 管理コンソールを含む特権アプリケーションへのアクセスに対して、「サインインするたびに」再認証を要求するように認証ポリシー(アプリケーションサインオンポリシー)を設定する。
- セルフサービスリカバリを使用する場合は、利用可能な最も強力な認証機能(現在は Okta Verify または Google Authenticator)を使用してリカバリを開始し、リカバリフローを信頼できるネットワークに限定する(IP、ASN、またはジオロケーションによる)。
- ヘルプデスク担当者によるリモート管理・監視(RMM)ツールの使用を見直し、統合し、他のすべての RMM ツールの実行をブロックする。
- 目視確認、ヘルプデスク担当者がユーザーの身元を確認するために MFAチャレンジを発行する委任ワークフロー、または要素をリセットする前にユーザーのラインマネージャーによる承認を必要とするアクセスリクエストの組み合わせを使用して、ヘルプデスクの身元確認プロセスを強化する。
- 新規デバイスと疑わしいアクティビティのエンドユーザー通知をオンにしてテストする。
- スーパー管理者ロールの使用を見直し、制限する。スーパー管理者アクセスには特権アクセス管理(PAM)を導入し、メンテナンスタスクにはカスタム管理者ロールを使用し、リスクの高いタスクの実行権限を委譲する。
- Oktaのすべての管理者ロールは、特定のグループに制約することができる。カスタム管理者ロールを使用して、組織で必要とされる最小限の権限を持つヘルプデスクロールを作成し、これらのロールを高権限の管理者を除外するグループに制約することを推奨する。
- 管理者専用ポリシーを実施する。管理者には、管理対象デバイスおよびフィッシングに強い MFA(Okta FastPass、FIDO2 WebAuthn)を介してサインインすることを義務付ける。このアクセスを信頼できるネットワークゾーンに制限し、匿名化プロキシからのアクセスを拒否する。
検知と対応
以下のシステムログイベントとワークフローテンプレートは、上記のTTP のいくつかを検出するために使用できます。
|
Stage of Attack |
System Log Query |
Workflows Templates/Further Advice |
|
Detect AiTM phishing using FastPass |
eventType eq "user.authentication.auth_via_mfa" AND result eq "FAILURE" AND outcome.reason eq "FastPass declined phishing attempt" |
|
|
Alert on Factor Resets |
eventType eq "user.mfa.factor.reset_all" |
|
|
Alert on Factor Downgrades |
There is no System Log event for a Factor downgrade. To monitor all activation and deactivation events, use the following query: eventType sw "system.mfa.factor" |
|
|
Alert on User Suspicious Activity Reports |
eventType eq "user.account.report_suspicious_activity_by_enduser" |
|
|
Alert on New Behaviors during Access to Okta Admin Console |
eventType eq "policy.evaluate_sign_on" and target.displayName eq "Okta Admin Console" and debugContext.debugData.behaviors co "POSITIVE" and eventType eq "policy.evaluate_sign_on" and target.displayName eq "Okta Admin Console" and debugContext.debugData.LogOnlySecurityData co "POSITIVE" |
We recommend administrators useExpression Language to alert on access to the Admin Console from users that meet the following conditions: security.behaviors.contains('New IP') && security.behaviors.contains('New Device') |
|
Alert on Sign-In Attempts via Anonymizing Proxies |
eventType eq "user.session.start" and AND securityContext.isProxy eq "true" |
We recommend administrators deny sign-ins from these services in policy using aDynamic Network Zone. |
|
Alert on Creation of an Identity Provider by a Super Administrator or Org Administrator |
eventType eq "system.idp.lifecycle.create" Alternative that includes all creation and modification events: eventType sw "system.idp.lifecycle" |
We recommend delegating access to this feature to aCustom Admin Role with the minimum required permissions. |
|
Alert on Sign-In Events via a Third-Party Identity Provider |
eventType eq "user.authentication.auth_via_IDP" |
We recommend alerting on these events if the organization does not currently use the Inbound Federation feature. |
侵害の兆候
For the period 2023-07-29 to 2023-08-19
IP addresses:
|
IP |
|
24.189.245.79 |
|
74.105.157.5 |
|
174.199.192.95 |
|
98.113.77.43 |
|
108.21.89.22 |
|
75.252.4.33 |
|
73.205.234.246 |
|
99.25.84.9 |
|
185.56.83.225 |
|
96.244.225.43 |
|
|
上記の内容は、以下の原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。
原文:https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection