Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Кампания фишинга SSO: обход MFA в Okta и Microsoft 365

3 мин
Недавно выявлена активная и технологично продвинутая фишинговая кампания, нацеленная на организации, использующие Microsoft 365 и Okta для единого входа (SSO). Атакующие эксплуатируют уязвимости в механизмах многофакторной аутентификации (MFA), заставляя легитимные потоки аутентификации работать в свою пользу и похищая учетные данные и сеансовые токены. Кампания строится по схеме «второго этапа» фишинга: жертва сначала попадает на поддельную страницу, имитирующую страницу входа Okta, а затем этот сайт действует как прокси для подлинного клиента Okta организации. В результате злоумышленники сохраняют настройки исходного клиента и получают доступ к учетным данным и токенам сеанса, обходя многие стандартные механизмы защиты, включая MFA для неосведомленных пользователей. В рамках атаки используются домены-двойники, например sso.oktasecure.io и sso.okta-cloud.com, а также специальный параметр в URL, указывающий на целевого клиента Okta — это позволяет фишинговой странице сохранять видимост
Оглавление

Недавно выявлена активная и технологично продвинутая фишинговая кампания, нацеленная на организации, использующие Microsoft 365 и Okta для единого входа (SSO). Атакующие эксплуатируют уязвимости в механизмах многофакторной аутентификации (MFA), заставляя легитимные потоки аутентификации работать в свою пользу и похищая учетные данные и сеансовые токены.

Суть атаки

Кампания строится по схеме «второго этапа» фишинга: жертва сначала попадает на поддельную страницу, имитирующую страницу входа Okta, а затем этот сайт действует как прокси для подлинного клиента Okta организации. В результате злоумышленники сохраняют настройки исходного клиента и получают доступ к учетным данным и токенам сеанса, обходя многие стандартные механизмы защиты, включая MFA для неосведомленных пользователей.

В рамках атаки используются домены-двойники, например sso.oktasecure.io и sso.okta-cloud.com, а также специальный параметр в URL, указывающий на целевого клиента Okta — это позволяет фишинговой странице сохранять видимость подлинности и повышает вероятность успешного перехвата.

Microsoft 365 в прицеле

Помимо поддельных страниц Okta, кампания включает страницы, стилистически связанные с Microsoft 365. Такие страницы перенаправляют трафик на легитимные конечные точки Microsoft, одновременно собирая учетные данные и cookies сеанса пользователей. Особенно уязвимы пользователи, для которых Okta выступает как federated identity provider при доступе к Microsoft 365.

Исследователи отмечают: «Стратегия направлена на пользователей Okta, получающих доступ к Microsoft 365 через федерацию — это свидетельствует о высоком уровне планирования и технической продуманности атаки».

Почему это опасно

  • Атака сохраняет и использует настройки исходного клиента Okta, что повышает доверие жертвы к поддельной странице.
  • Использование проксирования подлинных Okta-потоков позволяет обходить многие механизмы MFA.
  • Интеграция с Microsoft 365 расширяет потенциальный ущерб: доступ к корпоративной почте, файлам и другим ресурсам.
  • Злоумышленники опираются на тщательно спланированные redirect- и proxy-механизмы, что усложняет обнаружение атаки обычными средствами.

Индикаторы компрометации (IoC) и что проверять

Организациям рекомендуется срочно проанализировать логи и события в своих системах аутентификации и почтовых сервисах:

  • Проверить журналы Okta на предмет попыток несанкционированной аутентификации и атипичных redirect-потоков.
  • Для пользователей Okta FastPass — искать события с именем user.authentication.auth_via_mfa, которые могут указывать на попытки фишинга.
  • Анализировать логи Microsoft 365 на предмет доступа к сообщениям, связанным с кампанией (по известным строкам темы) и по нетипичным сессиям/cookie.
  • Идентифицировать обращения к доменам-двойникам и подозрительным URL-параметрам, указывающим на targeted Okta client.

Рекомендации по защите и реагированию

  • Усилить мониторинг и оповещения по событиям аутентификации в Okta и по аномальным сессиям Microsoft 365.
  • Провести разъяснительную работу с пользователями о признаках фишинга и проверить подозрительные письма вручную перед переходом по ссылкам.
  • Ограничить доверие к любым перенаправлениям SSO и внедрить политики проверок исходных доменов для ссылок в почтовых сообщениях.
  • Рассмотреть дополнительные механизмы защиты с меньшей подверженностью фишингу, такие как hardware-backed keys или phishing-resistant MFA, где это возможно.
  • При обнаружении компрометации — немедленно отозвать сеансовые токены и пересмотреть журналы доступа для выявления дальнейшего перемещения злоумышленника.

Вывод

Эта кампания иллюстрирует, что злоумышленники развивают сложные методы обхода MFA и используют глубокое понимание SSO-флоу для получения доступа к корпоративным ресурсам. Организациям, использующим Okta и Microsoft 365, необходимо повысить бдительность, оперативно проверять журналы аутентификации и внедрять дополнительные меры защиты против фишинга, нацеленного на федеративные сценарии доступа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Кампания фишинга SSO: обход MFA в Okta и Microsoft 365".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Microsoft
32,8 тыс интересуются