Okta gehört zu den grössten Cloud-Identity-Providern (IdP) dieser Zeit. Letzten Oktober (2023) hatten Angreifer ein Session Cookie von einem Inhouse-Administrator abgegriffen. Mit dem Session Cookie konnten die Angreifer Namen und E-Mail-Adressen von allen Okta-Kunden abgreifen, die bis dahin den Support von Okta genutzt hatten. Das Beispiel zeigt auf, wie einfach administrative Privilegien mit einem Session Cookie gekapert werden können. Dies ist kein Einzelfall. Im Artikel zeige ich auf, wie solche Attacken verhindert werden können.

Infostealer

Im Falle von Okta entnahmen die Angreifer von einem Browser Recording HAR File das enthaltene Session Cookie. Das Session Cookie war ursprünglich für einen Inhouse-Administrator mit weitreichenden Berechtigungen ausgestellt. Dies wurde schliesslich missbraucht. Meist werden jedoch Infostealer genutzt, um an die Session Cookies von den Administratoren zu gelangen. Infostealer sind gemäss Definition von Trend Micro Trojaner, welche Informationen von einem System auslesen und weiterleiten. Meist werden Session Cookies, Credentials (also Benutzername und Passwörter) oder Tastatureingaben von Keyloggern gesammelt. Infostealer benötigen oft nur Standard-Benutzerberechtigungen, um die Session Cookies von den Browsern zu entwenden. Wer möchte kann beim folgenden Youtube Video sehen, wie Pass-The-Session-Cookie-Attacken funktionieren: www.youtube.com/watch?v=MDiwkAZ-854

Strikte Trennung von Benutzer und administrativen Tätigkeiten

Beide Angriffsszenarien haben gemeinsam, dass die Session Cookies oder Credentials auf dem Client vom Administrator vorhanden sind. Um sich effektiv vor Infostealern zu schützen, muss man ein Sicherheitskonzept haben, damit die Session Cookies, Tokens und Credentials schon gar nicht auf dem Client des Administrators vorhanden sind. Aus der Vergangenheit habe ich zwei der meist genutzten Lösungsvarianten herausgesucht, um die administrativen Sessions zu schützen. Aber wie unten beschrieben, haben auch diese Lösungsvarianten ihre Schwächen:

  • Terminalserver (Admin Station):
    Für administrative Tätigkeiten wird ein Terminalserver alias «Admin Station» eingesetzt. Diese Variante hat den Nachteil, dass oft Informationen wie Credentials im Zwischenspeicher zwischen Terminalserver und den Clients der Administratoren automatisch gesyncht werden. Somit haben wir wieder nicht die strikte Trennung von Benutzer und administrativen Tätigkeiten. Des Weiteren hat man keine weiteren Funktionen wie Session Recording zur Nachvollziehbarkeit oder zum Freigeben von sensitiven Zugriffen etc. Wenn der Terminalserver ein Windows-System ist, birgt es zusätzlich das grosse Sicherheitsrisiko, dass alle administrativen Credentials von allen eingeloggten Administratoren im «lsass» ausgelesen werden können.
    Hier ein Artikel dazu: www.tec-bite.ch/passwordless-authentication-or-normal-it-madness
  • Admin-Laptop:
    Administratoren haben jeweils einen Laptop für die Tasks mit Standard- Berechtigungen wie Mails lesen oder Whitepapers studieren. Fürs administrieren von Systemen besitzen die Admins jeweils einen weiteren Laptop. Dieses Gerät muss jedoch so stark restriktiert sein, dass die Tasks mit Standard-Berechtigungen geblockt werden. Heutzutage möchte man den Administratoren jedoch oft nicht mehr zumuten, dass Sie stetig zwei Laptops mit sich herumtragen. Ein weiterer grosser Nachteil dieser Lösungsvariante ist, dass man Sicherheitsfunktionen wie Session Recording oder Logging der Tätigkeiten mit weiteren Third-Party-Lösungen abdecken muss.

PAM-Konzept

Terminalserver sind grundsätzlich für Benutzer erstellt worden und der «Würgaround» mit zwei Geräten für Admins ist auch nur eine Behelfslösung. Im Werkunterricht der Schule lernt man schnell: Wenn man etwas es richtig machen will, benötigt man dafür das richtige Werkzeug oder Tool. Genauso, wie es uns die Bexio-Werbung im Jahr 2019 vermittelt hat:

Warum wenden wir das Prinzip vom Schulwerkunterricht nicht auch für das Administrieren und Verwalten unserer Systeme an?! Wie oben geschrieben, wird ein Werkzeug / Tool benötigt, das alle administrativen Session Cookies, Credentials und Tokens vom Client des Admins wegbringt. Genau dafür gibts im PAM-Bereich die All-in-One Privileged-Remote-Access-Lösung (PRA) von BeyondTrust:

 

Persönliches Fazit

Wenn man eine Cyber-Versicherung abschliessen möchte, dann verlangen Versicherer heutzutage, dass eine PAM-Lösung wie die von BeyondTrust eingesetzt wird. Diese Anforderung hat meiner Meinung nach auch ihre Begründung. Gerne zitiere ich hier Gartner:

«Decentralization of computing resources, channels, entities and devices makes traditional perimeter-based security strategies and tools insufficient. Security and risk management leaders must put identity at the core of cybersecurity strategy and invest in the continuous, context-aware controls.»

Gartner Identity-First Security Maximizes Cybersecurity Effectiveness, Dec 22

Wer die Administratoren effektiv schützen will, muss die administrativen Accounts, Cookies, Token etc. vom Client der Admins wegbringen. Was auf dem Client der Admins nicht vorhanden ist, kann auf dem Client nicht gestohlen werden. Zudem bringt die All-in-one PAM Lösung von Beyondtrust weiter Funktionen wie 2FA oder Session Recording für alle administrativen Session mit. Eine Übersicht zu den PRA-Funktionalitäten finden Sie hier:

www.avantec.ch/loesungen/beyondtrust/privileged-remote-access

Weiterführende Links

https://www.avantec.ch/loesungen/beyondtrust

www.avantec.ch/themen/privileged-access-management

www.tec-bite.ch/hat-die-management-zone-ausgedient-hier-ein-vergleich

www.tec-bite.ch/haben-sie-ihre-service-accounts-unter-kontrolle