Suche

Sprache

Uber Breach Key Takeaways: Warum MFA, Dienstkontoschutz und PAM zusammenarbeiten müssen, um vor kompromittierten Zugangsdaten zu schützen

September 22nd, 2022

Startseite » Blog » Uber Breach Key Takeaways: Warum MFA, Dienstkontoschutz und PAM zusammenarbeiten müssen, um vor kompromittierten Zugangsdaten zu schützen

Der jüngste Verstoß gegen Uber sollte ein Weckruf sein, um darüber nachzudenken, wie Identitätsschutz in heutigen Unternehmensumgebungen implementiert und praktiziert wird. Denn der auffälligste Aspekt dieses Verstoßes ist nicht nur die Rolle kompromittierter Zugangsdaten, sondern auch das Versagen der Identitätsschutz Maßnahmen, die ergriffen wurden, um die böswillige Verwendung dieser Anmeldeinformationen zu verhindern.

Dieser Angriff ist in der Tat ein perfektes Beispiel dafür, warum Identitätsbedrohungen heute aufgrund der inhärenten Lücken im Strom der prominenteste Angriffsvektor sind MFA und PAM-Lösungen. In diesem Artikel untersuchen wir diese Lücken und diskutieren Silverfort's einheitlicher Ansatz für Identitätsschutz über eine speziell entwickelte Plattform, die genau diese Bedrohungen abwehren kann.

Inhaltsverzeichnis

  • Angriffsfluss: Kompromittierte Anmeldeinformationen auf dem ganzen Weg
  • Lücken, die den Angriff ermöglichten
  • Das Silverfort Weg: Adaptive MFA, Service Account Protection und PAM Hardening
  • Zusammenfassung

    • Angriffsfluss: Kompromittierte Anmeldeinformationen auf dem ganzen Weg

    1. Angreifer erhielten VPN-Anmeldeinformationen von einem Drittanbieter. Über gepostet dass „es wahrscheinlich ist, dass der Angreifer das Uber-Firmenpasswort des Auftragnehmers im Dark Web gekauft hat, nachdem das persönliche Gerät des Auftragnehmers mit Malware infiziert worden war, wodurch diese Zugangsdaten offengelegt wurden.“
    2. Mit diesen Zugangsdaten führten die Angreifer dann eine MFA-Bombenangriff gefolgt von einem direkten Anruf beim Auftragnehmer, wo sie sich als Support-Mitarbeiter ausgaben. Dies führte dazu, dass der Auftragnehmer die MFA-Benachrichtigung genehmigte und den Angreifern somit Zugriff auf die interne Umgebung von Uber gewährte.
    3. Einmal drinnen, scannte der Angreifer das Netzwerk, bis er eine Netzwerkfreigabe fand, die nach Angaben des Angreifers Tweet, enthielt einige Powershell-Skripte. Eines der Powershell-Skripte enthielt den Benutzernamen und das Passwort für einen Administratorbenutzer in PAM'. Damit konnte er dann auf das PAM zugreifen und Daten aus verschiedenen Systemen extrahieren, darunter DA, Duo, OneLogin, AWS und Google Workspace.
      Wichtiger HinweisHinweis: Da dieser „Domänenbenutzer“ in ein Skript eingebettet war, handelte es sich höchstwahrscheinlich um ein Dienstkonto, das erstellt wurde, damit das Skript die zur Erfüllung seiner Aufgabe erforderlichen Authentifizierungen durchführen kann. Es ist eine gängige Praxis, solche Anmeldeinformationen in einem Skript fest zu codieren, aber das bedeutet, dass sie nicht archiviert werden können und der PAM-Kennwortrotation unterliegen, was sie anfällig für Angriffe macht.
    4. Von dort aus griffen sie nach Belieben auf mehrere Ressourcen zu, einschließlich der Veröffentlichung eines expliziten Fotos auf einem internen Message Board.

    Lücken, die den Angriff ermöglichten

    Bei der Analyse der vorhandenen Sicherheitsmaßnahmen sehen wir eine Vielzahl von Schwachstellen in den MFA- und PAM-Lösungen sowie im Dienstkontoschutz, der diesen Angriff erfolgreich machte. Lassen Sie uns jeden untersuchen:

    MFA: Eingeschränkter Schutz und Teildeckung

    • Unfähigkeit, riskante Authentifizierung zu erkennen: Die vorhandene MFA-Lösung war nicht in der Lage, kontinuierlich verweigerte Zugriffsversuche als Risikoindikator zu identifizieren, was dazu führte, dass der Auftragnehmer immer wieder dazu aufgefordert wurde.
    • Unfähigkeit, den Zugriff auf Netzwerkfreigaben zu schützen: Trotz der einfachen Benutzererfahrung löst der Zugriff auf eine Netzwerkfreigabe (entweder über die Benutzeroberfläche oder die Befehlszeile) einen Authentifizierungsprozess im Hintergrund über das CIFS-Protokoll aus. Da dieser Dienst MFA nicht nativ unterstützt, gab es keinen Schutz beim Zugriff auf die Netzwerkfreigabe.

    PAM: Single Point of Failure bei Bereitstellung als eigenständiger Schutz

    • Ungeschützter Zugriff: Es gab keine Sicherheitskontrolle für die anfängliche Anmeldung an der PAM-Schnittstelle. Die Anforderung von MFA für diesen Zugriff hätte Angreifern die Möglichkeit genommen, die kompromittierten Anmeldeinformationen für böswilligen Zugriff zu verwenden.
    • Der Punkt des Versagens: Selbst nachdem ein Angreifer das PAM verletzt und begonnen hatte, auf Daten zuzugreifen, musste er nicht weiter gehen. Eine solide Sicherheitsarchitektur sollte mehrschichtigen Schutz für privilegierten Zugriff bieten, sodass selbst bei einer Verletzung der PAM-Schicht immer noch andere Sicherheitskontrollen vorhanden sind, um den Vormarsch der Angreifer zu stoppen.

    Dienstkonten: Mangel an Überwachung und Schutz

    • Passwörter können nicht gespeichert und rotiert werden: Wie bereits erläutert, Anmeldeinformationen für Dienstkonten die in einem Skript fest codiert sind, können nicht der Passwortrotation und dem Vaulting unterzogen werden, da dies wahrscheinlich dazu führt, dass die vom Skript ausgeführten Prozesse unterbrochen werden. Allerdings war das Ergebnis in diesem Fall kritisch, da die Offenlegung dieser Anmeldeinformationen den Angreifern direkten Zugriff auf das PAM ermöglichte.

    Das Silverfort Weg: Adaptive MFA, Service Account Protection und PAM Hardening

    Silverfort Einheitlicher Identitätsschutz Die Plattform erweitert MFA auf jeden Benutzer, jedes System oder jede Ressource (einschließlich solcher, die zuvor nie geschützt werden konnten) und erzwingt adaptive MFA-Richtlinien, die effizient auf erkannte Risiken reagieren können. Zusätzlich, Silverfort platziert einen virtuellen Zaun über Dienstkonten, um Missbrauch durch Bedrohungsakteure zu verhindern.

    Zusammen mit einer PAM-Lösung Silverfort kann Uber-ähnliche Sicherheitsverletzungen über die folgenden Funktionen verhindern:

    • MFA-Bombenabwehr: Silverfort Richtlinien können so konfiguriert werden, dass das Senden von MFA-Eingabeaufforderungen an den Benutzer nach einer Reihe verweigerter Zugriffsversuche unterdrückt wird. Dabei werden die Zugriffsversuche protokolliert und sichtbar Silverfort Konsole zur Untersuchung durch das Sicherheitsteam, der eigentliche Benutzer sieht sie nicht und wird daher nicht versucht sein, den Zugriff zu erlauben. Lesen Sie weiter Silverfort's MFA Bombardierung in diesem Blog.
    • MFA-Schutz für Netzwerkfreigaben: Silverfort kann MFA-Schutz auf den Zugriff auf Netzwerkfreigaben anwenden. Dies wird erreicht durch SilverfortIntegration mit Active Directory, wodurch jeder Zugriffsversuch analysiert werden kann, unabhängig vom verwendeten Authentifizierungsprotokoll oder Dienst. Dies fügt eine weitere Schutzebene hinzu und verhindert, dass Angreifer auf solche Ordner zugreifen, selbst wenn sie über kompromittierte Anmeldeinformationen verfügen.
    • Dedizierter Dienstkontoschutz: Silverfort automatisiert die Erkennung, Aktivitätsüberwachung, Risikoanalyse und Erstellung von Zugriffsrichtlinien für alle Dienstkonten innerhalb der Umgebung. Dies bedeutet, dass jede Abweichung des Dienstkontos von seiner Standardaktivität eine Richtlinie auslösen kann, die seinen Zugriff auf die Zielressource blockiert.
    • MFA-Schutz für PAM-Zugriff: Silverfort kann eine MFA-Richtlinie für den Zugriff auf die PAM-Konsole selbst durchsetzen und sie vor böswilligem Zugriff wie dem bei der Verletzung von Uber schützen.
    • MFA oder Zugriffssperre für privilegierte Konten, die von einer Nicht-PAM-Quelle zugreifen: Silverfort kann eine Richtlinie durchsetzen, die entweder MFA erfordert oder den Zugriff von jedem gänzlich blockiert privilegiertes Konto (d. h. diejenigen, die im PAM-Tresor gespeichert sind), die versuchen, auf Ressourcen von einer anderen Quelle als der PAM-Maschine selbst zuzugreifen. Eine solche Richtlinie ist eine direkte Abhilfe gegen Szenarien, in denen PAM-Inhalte in böswilliger Absicht von Angreifern extrahiert wurden, die dann versuchen, diese neu kompromittierten privilegierten Anmeldeinformationen für den Zugriff auf vertrauliche Ressourcen zu verwenden.

    Das folgende Diagramm zeigt den Ablauf des Angriffs und die verschiedenen Phasen, in denen Silverfort hätte es verhindert:

    Zusammenfassung

    Die realistische Annahme, die Sicherheitsakteure treffen müssen, ist, dass Anmeldeinformationen irgendwann kompromittiert werden. In Anbetracht dessen ist der ultimative Maßstab zur Messung des Identitätsschutzanteils im Unternehmenssicherheits-Stack, wie widerstandsfähig er gegenüber einem solchen Szenario ist. Wie wir in diesem Artikel festgestellt haben, traditionell MFA-Lösungen und die eigenständige PAM-Bereitstellung bieten nicht das Schutzniveau, das Unternehmen heute benötigen.  

    SilverfortDie Unified Identity Protection-Plattform von ist die erste Lösung, die eine ganzheitliche Lösung einführt, die adaptive MFA, automatisierten Service-Account-Schutz und PAM-Härtung kombiniert, die der heutigen Identitätsbedrohungslandschaft begegnen kann. Klicken hier um mehr zu erfahren.

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    2. Mai 2024

    Silverfort stellt Forschungsergebnisse auf der RSA 2024 vor: Verwendung von MITM zur Umgehung moderner Authentifizierungsmethoden für SSO

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  

    März 2nd, 2024

    MFA-Schutz für Air-Gap-Netzwerke
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt