Okta Security
Grundinformationen
Okta, Inc. ist im Bereich Identitäts- und Zugriffsmanagement für seine cloudbasierten Softwarelösungen anerkannt. Diese Lösungen sind darauf ausgelegt, die Benutzerauthentifizierung über verschiedene moderne Anwendungen zu optimieren und zu sichern. Sie richten sich nicht nur an Unternehmen, die ihre sensiblen Daten schützen möchten, sondern auch an Entwickler, die daran interessiert sind, Identitätskontrollen in Anwendungen, Webdiensten und Geräten zu integrieren.
Das Flaggschiff-Angebot von Okta ist die Okta Identity Cloud. Diese Plattform umfasst eine Suite von Produkten, darunter, aber nicht beschränkt auf:
Single Sign-On (SSO): Vereinfacht den Benutzerzugang, indem es eine Reihe von Anmeldeinformationen für mehrere Anwendungen ermöglicht.
Multi-Faktor-Authentifizierung (MFA): Erhöht die Sicherheit, indem mehrere Verifizierungsformen erforderlich sind.
Lifecycle Management: Automatisiert die Erstellung, Aktualisierung und Deaktivierung von Benutzerkonten.
Universal Directory: Ermöglicht die zentrale Verwaltung von Benutzern, Gruppen und Geräten.
API-Zugriffsmanagement: Sichert und verwaltet den Zugriff auf APIs.
Diese Dienste zielen darauf ab, den Datenschutz zu stärken und den Benutzerzugang zu optimieren, wodurch sowohl Sicherheit als auch Benutzerfreundlichkeit verbessert werden. Die Vielseitigkeit von Okta's Lösungen macht sie zu einer beliebten Wahl in verschiedenen Branchen, die großen Unternehmen, kleinen Firmen und einzelnen Entwicklern zugutekommt. Stand September 2021 wird Okta als bedeutendes Unternehmen im Bereich Identitäts- und Zugriffsmanagement (IAM) anerkannt.
Das Hauptziel von Okta ist es, den Zugriff auf verschiedene Benutzer und Gruppen auf externe Anwendungen zu konfigurieren. Wenn es Ihnen gelingt, Administratorrechte in einer Okta-Umgebung zu kompromittieren, werden Sie höchstwahrscheinlich in der Lage sein, alle anderen Plattformen, die das Unternehmen verwendet, zu kompromittieren.
Um eine Sicherheitsüberprüfung einer Okta-Umgebung durchzuführen, sollten Sie um Administrator-Lesezugriff bitten.
Zusammenfassung
Es gibt Benutzer (die in Okta gespeichert, von konfigurierten Identitätsanbietern angemeldet oder über Active Directory oder LDAP authentifiziert werden können). Diese Benutzer können in Gruppen sein. Es gibt auch Authentifizierer: verschiedene Optionen zur Authentifizierung wie Passwort und mehrere 2FA wie WebAuthn, E-Mail, Telefon, Okta Verify (sie könnten aktiviert oder deaktiviert sein)...
Dann gibt es Anwendungen, die mit Okta synchronisiert sind. Jede Anwendung hat eine Zuordnung zu Okta, um Informationen (wie E-Mail-Adressen, Vornamen...) auszutauschen. Darüber hinaus muss jede Anwendung in einer Authentifizierungsrichtlinie enthalten sein, die die benötigten Authentifizierer angibt, damit ein Benutzer auf die Anwendung zugreifen kann.
Die mächtigste Rolle ist Super Administrator.
Wenn ein Angreifer Okta mit Administratorzugang kompromittiert, werden alle Apps, die Okta vertrauen, höchstwahrscheinlich kompromittiert.
Angriffe
Lokalisierung des Okta-Portals
In der Regel befindet sich das Portal eines Unternehmens unter companyname.okta.com. Wenn nicht, versuchen Sie einfache Variationen von companyname. Wenn Sie es nicht finden können, ist es auch möglich, dass die Organisation einen CNAME-Eintrag wie okta.companyname.com hat, der auf das Okta-Portal verweist.
Anmeldung in Okta über Kerberos
Wenn companyname.kerberos.okta.com aktiv ist, wird Kerberos für den Okta-Zugriff verwendet, was typischerweise die MFA für Windows-Benutzer umgeht. Um Kerberos-authentifizierte Okta-Benutzer in AD zu finden, führen Sie getST.py mit angemessenen Parametern aus. Nach Erhalt eines AD-Benutzertickets injizieren Sie es in einen kontrollierten Host mit Tools wie Rubeus oder Mimikatz und stellen sicher, dass clientname.kerberos.okta.com in der Internetoptionen "Intranet"-Zone ist. Der Zugriff auf eine bestimmte URL sollte eine JSON "OK"-Antwort zurückgeben, die die Akzeptanz des Kerberos-Tickets anzeigt und den Zugriff auf das Okta-Dashboard gewährt.
Die Kompromittierung des Okta-Dienstkontos mit dem Delegations-SPN ermöglicht einen Silver Ticket-Angriff. Allerdings erfordert Okta's Verwendung von AES zur Ticketverschlüsselung den Besitz des AES-Schlüssels oder des Klartextpassworts. Verwenden Sie ticketer.py, um ein Ticket für den betroffenen Benutzer zu generieren und es über den Browser zu übermitteln, um sich bei Okta zu authentifizieren.
Überprüfen Sie den Angriff in https://trustedsec.com/blog/okta-for-red-teamers.
Hijacking Okta AD-Agent
Diese Technik beinhaltet den Zugriff auf den Okta AD-Agent auf einem Server, der Benutzer synchronisiert und die Authentifizierung verwaltet. Durch die Untersuchung und Entschlüsselung von Konfigurationen in OktaAgentService.exe.config, insbesondere des AgentTokens mit DPAPI, kann ein Angreifer potenziell Authentifizierungsdaten abfangen und manipulieren. Dies ermöglicht nicht nur Überwachung und Erfassung von Benutzeranmeldeinformationen im Klartext während des Okta-Authentifizierungsprozesses, sondern auch Reaktionen auf Authentifizierungsversuche, wodurch unbefugter Zugriff ermöglicht oder eine universelle Authentifizierung über Okta bereitgestellt wird (ähnlich einem 'Skeleton Key').
Überprüfen Sie den Angriff in https://trustedsec.com/blog/okta-for-red-teamers.
Hijacking AD als Administrator
Diese Technik beinhaltet das Hijacking eines Okta AD-Agenten, indem zuerst ein OAuth-Code erlangt und dann ein API-Token angefordert wird. Das Token ist mit einer AD-Domäne verknüpft, und ein Connector wird benannt, um einen gefälschten AD-Agenten zu erstellen. Die Initialisierung ermöglicht es dem Agenten, Authentifizierungsversuche zu verarbeiten, wobei Anmeldeinformationen über die Okta-API erfasst werden. Automatisierungstools sind verfügbar, um diesen Prozess zu optimieren und eine nahtlose Methode zum Abfangen und Verarbeiten von Authentifizierungsdaten innerhalb der Okta-Umgebung anzubieten.
Überprüfen Sie den Angriff in https://trustedsec.com/blog/okta-for-red-teamers.
Okta Fake SAML-Anbieter
Überprüfen Sie den Angriff in https://trustedsec.com/blog/okta-for-red-teamers.
Die Technik beinhaltet die Bereitstellung eines gefälschten SAML-Anbieters. Durch die Integration eines externen Identitätsanbieters (IdP) innerhalb des Okta-Rahmens mit einem privilegierten Konto können Angreifer den IdP kontrollieren und jede Authentifizierungsanfrage nach Belieben genehmigen. Der Prozess umfasst die Einrichtung eines SAML 2.0 IdP in Okta, die Manipulation der IdP Single Sign-On-URL zur Umleitung über die lokale Hosts-Datei, die Erstellung eines selbstsignierten Zertifikats und die Konfiguration der Okta-Einstellungen, um mit dem Benutzernamen oder der E-Mail übereinzustimmen. Das erfolgreiche Ausführen dieser Schritte ermöglicht die Authentifizierung als jeder Okta-Benutzer, wodurch die Notwendigkeit individueller Benutzeranmeldeinformationen umgangen wird, was die Zugriffskontrolle erheblich erhöht und möglicherweise unbemerkt bleibt.
Phishing des Okta-Portals mit Evilgnix
In diesem Blogbeitrag wird erklärt, wie man eine Phishing-Kampagne gegen ein Okta-Portal vorbereitet.
Kollege-Impersonation-Angriff
Die Attribute, die jeder Benutzer haben und ändern kann (wie E-Mail oder Vorname) können in Okta konfiguriert werden. Wenn eine Anwendung ein Attribut, das der Benutzer ändern kann, als ID vertraut, wird er in der Lage sein, andere Benutzer auf dieser Plattform zu impersonieren.
Wenn die App also das Feld userName vertraut, können Sie es wahrscheinlich nicht ändern (da Sie dieses Feld normalerweise nicht ändern können), aber wenn sie beispielsweise primaryEmail vertraut, könnten Sie in der Lage sein, es auf die E-Mail-Adresse eines Kollegen zu ändern und ihn zu impersonieren (Sie müssen Zugriff auf die E-Mail haben und die Änderung akzeptieren).
Beachten Sie, dass diese Impersonation davon abhängt, wie jede Anwendung konfiguriert wurde. Nur die, die dem Feld, das Sie geändert haben, vertrauen und Aktualisierungen akzeptieren, werden kompromittiert. Daher sollte die App dieses Feld aktiviert haben, wenn es existiert:
Ich habe auch andere Apps gesehen, die anfällig waren, aber dieses Feld nicht in den Okta-Einstellungen hatten (am Ende sind verschiedene Apps unterschiedlich konfiguriert).
Der beste Weg herauszufinden, ob Sie jemanden in jeder App impersonieren könnten, wäre, es auszuprobieren!
Umgehung von Verhaltensüberwachungsrichtlinien
Verhaltensüberwachungsrichtlinien in Okta könnten unbekannt sein, bis sie aufgetreten sind, aber die Umgehung kann erreicht werden, indem Okta-Anwendungen direkt angegriffen werden, um das Haupt-Okta-Dashboard zu vermeiden. Mit einem Okta-Zugriffstoken wiederholen Sie das Token an der anwendungsspezifischen Okta-URL anstelle der Hauptanmeldeseite.
Wichtige Empfehlungen sind:
Vermeiden Sie die Verwendung beliebter Anonymisierungsproxies und VPN-Dienste beim Wiederholen erfasster Zugriffstoken.
Stellen Sie sicher, dass konsistente Benutzer-Agent-Strings zwischen dem Client und den wiederholten Zugriffstoken bestehen.
Vermeiden Sie das Wiederholen von Tokens von verschiedenen Benutzern von derselben IP-Adresse.
Seien Sie vorsichtig, wenn Sie Tokens gegen das Okta-Dashboard wiederholen.
Wenn Sie die IP-Adressen des Opferunternehmens kennen, beschränken Sie den Verkehr auf diese IPs oder deren Bereich und blockieren Sie allen anderen Verkehr.
Okta-Härtung
Okta hat viele mögliche Konfigurationen. Auf dieser Seite finden Sie, wie Sie sie überprüfen können, damit sie so sicher wie möglich sind:
Referenzen
Last updated
