Okta Security
Grundlegende Informationen
Okta, Inc. ist im Bereich Identitäts- und Zugriffsverwaltung für seine cloudbasierten Softwarelösungen bekannt. Diese Lösungen sind darauf ausgelegt, die Benutzerauthentifizierung in verschiedenen modernen Anwendungen zu vereinfachen und zu sichern. Sie richten sich nicht nur an Unternehmen, die ihre sensiblen Daten schützen möchten, sondern auch an Entwickler, die Identitätskontrollen in Anwendungen, Webdienste und Geräte integrieren möchten.
Das Flaggschiffangebot von Okta ist die Okta Identity Cloud. Diese Plattform umfasst eine Reihe von Produkten, darunter, aber nicht beschränkt auf:
Single Sign-On (SSO): Vereinfacht den Benutzerzugriff, indem ein Satz von Anmeldeinformationen für mehrere Anwendungen verwendet wird.
Multi-Faktor-Authentifizierung (MFA): Erhöht die Sicherheit durch die Anforderung mehrerer Verifizierungsformen.
Lebenszyklusmanagement: Automatisiert den Prozess der Benutzerkontenerstellung, -aktualisierung und -deaktivierung.
Universelles Verzeichnis: Ermöglicht die zentrale Verwaltung von Benutzern, Gruppen und Geräten.
API-Zugriffsverwaltung: Sicherung und Verwaltung des Zugriffs auf APIs.
Diese Dienste zielen gemeinsam darauf ab, den Datenschutz zu stärken und den Benutzerzugriff zu vereinfachen, wodurch sowohl die Sicherheit als auch die Bequemlichkeit verbessert werden. Die Vielseitigkeit der Lösungen von Okta macht sie zu einer beliebten Wahl in verschiedenen Branchen, von großen Unternehmen über kleine Unternehmen bis hin zu einzelnen Entwicklern. Bis zum letzten Update im September 2021 wird Okta als bedeutende Entität im Bereich Identitäts- und Zugriffsverwaltung (IAM) anerkannt.
Das Hauptziel von Okta ist es, den Zugriff auf verschiedene Benutzer und Gruppen auf externe Anwendungen zu konfigurieren. Wenn es Ihnen gelingt, Administratorrechte in einer Okta-Umgebung zu kompromittieren, werden Sie höchstwahrscheinlich in der Lage sein, alle anderen Plattformen zu kompromittieren, die das Unternehmen verwendet.
Um eine Sicherheitsüberprüfung einer Okta-Umgebung durchzuführen, sollten Sie um Administrator-Lesezugriff bitten.
Zusammenfassung
Es gibt Benutzer (die in Okta gespeichert sein können, von konfigurierten Identitätsanbietern angemeldet oder über Active Directory oder LDAP authentifiziert werden). Diese Benutzer können in Gruppen sein. Es gibt auch Authentifizierer: verschiedene Optionen zur Authentifizierung wie Passwort und verschiedene 2FA-Methoden wie WebAuthn, E-Mail, Telefon, Okta Verify (sie können aktiviert oder deaktiviert sein)...
Dann gibt es Anwendungen, die mit Okta synchronisiert sind. Jede Anwendung wird einige Zuordnung mit Okta haben, um Informationen auszutauschen (wie E-Mail-Adressen, Vornamen...). Darüber hinaus muss jede Anwendung in einer Authentifizierungsrichtlinie enthalten sein, die die erforderlichen Authentifizierer für einen Benutzer angibt, um auf die Anwendung zuzugreifen.
Die mächtigste Rolle ist der Superadministrator.
Wenn ein Angreifer Okta mit Administratorzugriff kompromittiert, werden höchstwahrscheinlich alle Apps, die Okta vertrauen, kompromittiert.
Angriffe
Lokalisierung des Okta-Portals
Normalerweise befindet sich das Portal eines Unternehmens unter firmenname.okta.com. Wenn nicht, versuchen Sie einfache Varianten von firmenname. Wenn Sie es nicht finden können, ist es auch möglich, dass die Organisation einen CNAME-Eintrag wie okta.firmenname.com hat, der auf das Okta-Portal zeigt.
Anmeldung bei Okta über Kerberos
Wenn firmenname.kerberos.okta.com aktiv ist, wird Kerberos für den Okta-Zugriff verwendet, wodurch in der Regel die MFA für Windows-Benutzer umgangen wird. Um Kerberos-authentifizierte Okta-Benutzer in AD zu finden, führen Sie getST.py mit geeigneten Parametern aus. Nach Erhalt eines AD-Benutzertickets injizieren Sie es in einen kontrollierten Host mithilfe von Tools wie Rubeus oder Mimikatz und stellen sicher, dass clientname.kerberos.okta.com im Bereich "Intranet" der Internetoptionen steht. Der Zugriff auf eine bestimmte URL sollte eine JSON "OK"-Antwort zurückgeben, was die Akzeptanz des Kerberos-Tickets anzeigt und den Zugriff auf das Okta-Dashboard gewährt.
Durch Kompromittieren des Okta-Dienstkontos mit der Delegierung SPN wird ein Silver-Ticket-Angriff ermöglicht. Die Verwendung von AES durch Okta zur Ticketverschlüsselung erfordert jedoch den Besitz des AES-Schlüssels oder des Klartextpassworts. Verwenden Sie ticketer.py, um ein Ticket für den Opferbenutzer zu generieren und liefern Sie es über den Browser, um sich mit Okta zu authentifizieren.
Überprüfen Sie den Angriff unter https://trustedsec.com/blog/okta-for-red-teamers.
Übernahme des Okta-AD-Agenten
Diese Technik beinhaltet das Zugreifen auf den Okta-AD-Agenten auf einem Server, der Benutzer synchronisiert und die Authentifizierung handhabt. Durch Untersuchung und Entschlüsselung von Konfigurationen in OktaAgentService.exe.config, insbesondere des AgentToken unter Verwendung von DPAPI, kann ein Angreifer potenziell Authentifizierungsdaten abfangen und manipulieren. Dies ermöglicht nicht nur das Überwachen und Erfassen von Benutzeranmeldeinformationen im Klartext während des Okta-Authentifizierungsprozesses, sondern auch das Reagieren auf Authentifizierungsversuche, wodurch unbefugter Zugriff ermöglicht oder eine universelle Authentifizierung über Okta bereitgestellt wird (ähnlich einem 'Generalschlüssel').
Überprüfen Sie den Angriff unter https://trustedsec.com/blog/okta-for-red-teamers.
Übernahme von AD als Administrator
Diese Technik beinhaltet die Übernahme eines Okta-AD-Agenten, indem zunächst ein OAuth-Code erhalten und dann ein API-Token angefordert wird. Das Token ist mit einer AD-Domäne verbunden, und ein Connector wird benannt, um einen falschen AD-Agenten zu etablieren. Die Initialisierung ermöglicht es dem Agenten, Authentifizierungsversuche zu verarbeiten, indem Anmeldeinformationen über die Okta-API erfasst werden. Automatisierungstools stehen zur Verfügung, um diesen Prozess zu optimieren und eine nahtlose Methode zum Abfangen und Verarbeiten von Authentifizierungsdaten innerhalb der Okta-Umgebung zu bieten.
Überprüfen Sie den Angriff unter https://trustedsec.com/blog/okta-for-red-teamers.
Okta Fake SAML-Anbieter
Diese Technik beinhaltet das Bereitstellen eines gefälschten SAML-Anbieters. Durch Integration eines externen Identitätsanbieters (IdP) in das Rahmenwerk von Okta mithilfe eines privilegierten Kontos können Angreifer den IdP kontrollieren und jede Authentifizierungsanfrage nach Belieben genehmigen. Der Prozess umfasst das Einrichten eines SAML 2.0 IdP in Okta, die Manipulation der IdP Single Sign-On-URL zur Umleitung über die lokale Hosts-Datei, die Generierung eines selbstsignierten Zertifikats und die Konfiguration der Okta-Einstellungen zur Übereinstimmung mit dem Benutzernamen oder der E-Mail. Durch erfolgreiche Ausführung dieser Schritte ist eine Authentifizierung als beliebiger Okta-Benutzer möglich, ohne die Notwendigkeit individueller Benutzeranmeldeinformationen, was die Zugriffskontrolle in einer potenziell unbemerkten Weise erheblich erhöht.
Phishing des Okta-Portals mit Evilgnix
In diesem Blog-Beitrag wird erklärt, wie man eine Phishing-Kampagne gegen ein Okta-Portal vorbereitet.
Kollegenimitationsangriff
Die Attribute, die jeder Benutzer haben und ändern kann (wie E-Mail oder Vorname), können in Okta konfiguriert werden. Wenn eine Anwendung als ID ein Attribut vertraut, das der Benutzer ändern kann, kann er andere Benutzer auf dieser Plattform imitieren.
Daher, wenn die App das Feld userName vertraut, können Sie es wahrscheinlich nicht ändern (weil Sie dieses Feld normalerweise nicht ändern können), aber wenn sie zum Beispiel primaryEmail vertraut, könnten Sie es möglicherweise in die E-Mail-Adresse eines Kollegen ändern und sich als dieser ausgeben (Sie müssen Zugriff auf die E-Mail haben und die Änderung akzeptieren).
Beachten Sie, dass diese Imitation davon abhängt, wie jede Anwendung konfiguriert wurde. Nur diejenigen, die dem von Ihnen geänderten Feld vertrauen und Aktualisierungen akzeptieren, werden kompromittiert. Daher sollte die App dieses Feld aktiviert haben, wenn es existiert:
Ich habe auch andere Apps gesehen, die verwundbar waren, aber dieses Feld nicht in den Okta-Einstellungen hatten (letztendlich sind verschiedene Apps unterschiedlich konfiguriert).
Der beste Weg, um herauszufinden, ob Sie sich als jemand auf jeder App ausgeben könnten, wäre es, es auszuprobieren!
Umgehung von Verhaltenserkennungsrichtlinien
Verhaltenserkennungsrichtlinien in Okta sind möglicherweise unbekannt, bis sie aufgetreten sind, aber das Umgehen von ihnen kann erreicht werden, indem Okta-Anwendungen direkt angegriffen werden, um das Haupt-Okta-Dashboard zu umgehen. Mit einem Okta-Zugriffstoken wiederholen Sie das Token an der anwendungsspezifischen Okta-URL anstelle der Haupt-Login-Seite.
Zu den wichtigsten Empfehlungen gehören:
Vermeiden Sie die Verwendung von beliebten Anonymisierungsproxys und VPN-Diensten beim Wiederholen erfasster Zugriffstoken.
Stellen Sie sicher, dass zwischen dem Client und den wiederholten Zugriffstoken konsistente Benutzer-Agent-Strings vorhanden sind.
Verzichten Sie darauf, Tokens von verschiedenen Benutzern von derselben IP-Adresse wiederzugeben.
Seien Sie vorsichtig beim Wiederholen von Tokens gegen das Okta-Dashboard.
Wenn Sie die IP-Adressen des Opferunternehmens kennen, beschränken Sie den Datenverkehr auf diese IPs oder deren Bereich und blockieren Sie den gesamten anderen Datenverkehr.
Okta-Härtung
Okta bietet viele mögliche Konfigurationen. Auf dieser Seite finden Sie, wie Sie sie überprüfen können, damit sie so sicher wie möglich sind:
pageOkta HardeningReferenzen
Last updated
