Fragen? Antworten! Siehe auch: Alternativlos
Der Angreifer hat vorher ordentlich Aufklärung betrieben, kannte den Raumplan des Firmensitzes, hat dann Spearphishing probiert, kam bei einem durch. Den haben sie dann angerufen und mit Deepfake-Stimme eines Kollegen noch ein MFA-Token haben wollen. Das war genug, um den ganzen Laden zu knacken.
The additional OTP token shared over the call was critical, because it allowed the attacker to add their own personal device to the employee’s Okta account, which allowed them to produce their own Okta MFA from that point forward. This enabled them to have an active GSuite session on that device.
Ja, äh, und? Denkt ihr euch jetzt? Nun, stellt sich raus, dass Google sich ein schönes Backup all eurer MFA-Seeds in ihrer Cloud gemacht hat. Mit dem Google-Zugriff konnten die Angreifer sich die Seeds kopieren und dann ist Ende Gelände. Dazu kommt, dass Google die UI schön irreführend gestaltet hat, so dass praktisch niemand dieses Backup deaktiviert hat in der Praxis.Ganz großes Kino. An sich schon eine krasse Nummer, aber ich bin hier geradezu betäubt gerade von diesem Absatz:
As an aside, we’re glad that not a single on-premise Retool customer was affected. Retool on-prem operates in a “zero trust” environment, and doesn’t trust Retool cloud. It is fully self contained, and loads nothing from the cloud environment. This meant that although an attacker had access to Retool cloud, there was nothing they could do to affect on-premise customers. It’s worth noting that the vast majority of our crypto and larger customers in particular use Retool on-premise.
Was sind wir froh, dass unsere Kunden unserer Cloud nicht trauen! Das hat ihnen den Arsch gerettet!Für mich stellen sich da ja noch ein paar mehr Fragen. Kommt die On-Prem-Software und ihre Updates nicht am Ende auch aus besagter Cloud? Aber das ist eine Frage für einen anderen Tag. Das Money Quote aus diesem Artikel ist folgendes:
The fact that Google Authenticator syncs to the cloud is a novel attack vector. What we had originally implemented was multi-factor authentication. But through this Google update, what was previously multi-factor-authentication had silently (to administrators) become single-factor-authentication, because control of the Okta account led to control of the Google account, which led to control of all OTPs stored in Google Authenticator.
Well … fuck. :-)