Okta Security

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Informations de base

Okta, Inc. est reconnue dans le secteur de la gestion des identitĂ©s et des accĂšs pour ses solutions logicielles basĂ©es sur le cloud. Ces solutions sont conçues pour rationaliser et sĂ©curiser l’authentification des utilisateurs Ă  travers diverses applications modernes. Elles s’adressent non seulement aux entreprises cherchant Ă  protĂ©ger leurs donnĂ©es sensibles, mais aussi aux dĂ©veloppeurs intĂ©ressĂ©s par l’intĂ©gration de contrĂŽles d’identitĂ© dans des applications, des services web et des appareils.

L’offre phare d’Okta est le Okta Identity Cloud. Cette plateforme comprend une suite de produits, y compris mais sans s’y limiter :

  • Single Sign-On (SSO) : Simplifie l’accĂšs des utilisateurs en permettant un ensemble de identifiants de connexion Ă  travers plusieurs applications.
  • Multi-Factor Authentication (MFA) : Renforce la sĂ©curitĂ© en exigeant plusieurs formes de vĂ©rification.
  • Lifecycle Management : Automatise la crĂ©ation, la mise Ă  jour et la dĂ©sactivation des comptes utilisateurs.
  • Universal Directory : Permet la gestion centralisĂ©e des utilisateurs, des groupes et des appareils.
  • API Access Management : SĂ©curise et gĂšre l’accĂšs aux API.

Ces services visent collectivement Ă  renforcer la protection des donnĂ©es et Ă  rationaliser l’accĂšs des utilisateurs, amĂ©liorant Ă  la fois la sĂ©curitĂ© et la commoditĂ©. La polyvalence des solutions d’Okta en fait un choix populaire dans divers secteurs, bĂ©nĂ©fique pour les grandes entreprises, les petites sociĂ©tĂ©s et les dĂ©veloppeurs individuels. À la derniĂšre mise Ă  jour en septembre 2021, Okta est reconnue comme une entitĂ© de premier plan dans le domaine de la gestion des identitĂ©s et des accĂšs (IAM).

Caution

Le principal objectif d’Okta est de configurer l’accĂšs Ă  diffĂ©rentes applications pour les utilisateurs et les groupes externes. Si vous parvenez Ă  compromettre les privilĂšges d’administrateur dans un environnement Okta, vous serez trĂšs probablement en mesure de compromettre toutes les autres plateformes utilisĂ©es par l’entreprise.

Tip

Pour effectuer un examen de sĂ©curitĂ© d’un environnement Okta, vous devriez demander un accĂšs en lecture seule d’administrateur.

Résumé

Il y a des utilisateurs (qui peuvent ĂȘtre stockĂ©s dans Okta, connectĂ©s depuis des Identity Providers configurĂ©s ou authentifiĂ©s via Active Directory ou LDAP).
Ces utilisateurs peuvent ĂȘtre dans des groupes.
Il y a aussi des authentificateurs : diffĂ©rentes options pour s’authentifier comme le mot de passe, et plusieurs 2FA comme WebAuthn, email, tĂ©lĂ©phone, okta verify (ils peuvent ĂȘtre activĂ©s ou dĂ©sactivĂ©s)


Ensuite, il y a des applications synchronisĂ©es avec Okta. Chaque application aura un certain mapping avec Okta pour partager des informations (comme les adresses email, les prĂ©noms
). De plus, chaque application doit ĂȘtre dans une Authentication Policy, qui indique les authentificateurs nĂ©cessaires pour qu’un utilisateur accĂšde Ă  l’application.

Caution

Le rĂŽle le plus puissant est Super Administrator.

Si un attaquant compromet Okta avec un accĂšs Administrateur, toutes les applications faisant confiance Ă  Okta seront trĂšs probablement compromises.

Attaques

Localiser le portail Okta

GĂ©nĂ©ralement, le portail d’une entreprise sera situĂ© Ă  companyname.okta.com. Si ce n’est pas le cas, essayez des variations simples de companyname. Si vous ne pouvez pas le trouver, il est Ă©galement possible que l’organisation ait un enregistrement CNAME comme okta.companyname.com pointant vers le portail Okta.

Connexion Ă  Okta via Kerberos

Si companyname.kerberos.okta.com est actif, Kerberos est utilisĂ© pour l’accĂšs Ă  Okta, contournant gĂ©nĂ©ralement MFA pour les utilisateurs Windows. Pour trouver les utilisateurs Okta authentifiĂ©s par Kerberos dans AD, exĂ©cutez getST.py avec les paramĂštres appropriĂ©s. AprĂšs avoir obtenu un ticket utilisateur AD, injectez-le dans un hĂŽte contrĂŽlĂ© en utilisant des outils comme Rubeus ou Mimikatz, en vous assurant que clientname.kerberos.okta.com est dans la zone “Intranet” des Options Internet. AccĂ©der Ă  une URL spĂ©cifique devrait renvoyer une rĂ©ponse JSON “OK”, indiquant l’acceptation du ticket Kerberos et accordant l’accĂšs au tableau de bord Okta.

Compromettre le compte de service Okta avec le SPN de dĂ©lĂ©gation permet une attaque Silver Ticket. Cependant, l’utilisation par Okta de AES pour le chiffrement des tickets nĂ©cessite de possĂ©der la clĂ© AES ou le mot de passe en clair. Utilisez ticketer.py pour gĂ©nĂ©rer un ticket pour l’utilisateur victime et livrez-le via le navigateur pour s’authentifier avec Okta.

VĂ©rifiez l’attaque dans https://trustedsec.com/blog/okta-for-red-teamers.

DĂ©tournement de l’agent AD Okta

Cette technique implique l’accĂšs Ă  l’agent AD Okta sur un serveur, qui synchronise les utilisateurs et gĂšre l’authentification. En examinant et en dĂ©cryptant les configurations dans OktaAgentService.exe.config, notamment le AgentToken en utilisant DPAPI, un attaquant peut potentiellement intercepter et manipuler les donnĂ©es d’authentification. Cela permet non seulement de surveiller et de capturer les identifiants des utilisateurs en clair pendant le processus d’authentification Okta, mais aussi de rĂ©pondre aux tentatives d’authentification, permettant ainsi un accĂšs non autorisĂ© ou fournissant une authentification universelle via Okta (semblable Ă  une ‘clĂ© maĂźtresse’).

VĂ©rifiez l’attaque dans https://trustedsec.com/blog/okta-for-red-teamers.

DĂ©tournement d’AD en tant qu’Admin

Cette technique implique de dĂ©tourner un agent AD Okta en obtenant d’abord un code OAuth, puis en demandant un jeton API. Le jeton est associĂ© Ă  un domaine AD, et un connecteur est nommĂ© pour Ă©tablir un faux agent AD. L’initialisation permet Ă  l’agent de traiter les tentatives d’authentification, capturant les identifiants via l’API Okta. Des outils d’automatisation sont disponibles pour rationaliser ce processus, offrant une mĂ©thode fluide pour intercepter et gĂ©rer les donnĂ©es d’authentification dans l’environnement Okta.

VĂ©rifiez l’attaque dans https://trustedsec.com/blog/okta-for-red-teamers.

Fournisseur SAML factice Okta

VĂ©rifiez l’attaque dans https://trustedsec.com/blog/okta-for-red-teamers.

La technique implique le dĂ©ploiement d’un fournisseur SAML factice. En intĂ©grant un fournisseur d’identitĂ© externe (IdP) dans le cadre d’Okta en utilisant un compte privilĂ©giĂ©, les attaquants peuvent contrĂŽler l’IdP, approuvant toute demande d’authentification Ă  volontĂ©. Le processus consiste Ă  configurer un IdP SAML 2.0 dans Okta, Ă  manipuler l’URL de connexion unique de l’IdP pour la redirection via le fichier hosts local, Ă  gĂ©nĂ©rer un certificat auto-signĂ© et Ă  configurer les paramĂštres Okta pour correspondre au nom d’utilisateur ou Ă  l’email. L’exĂ©cution rĂ©ussie de ces Ă©tapes permet de s’authentifier en tant qu’utilisateur Okta, contournant le besoin d’identifiants individuels, Ă©levant considĂ©rablement le contrĂŽle d’accĂšs de maniĂšre potentiellement inaperçue.

Attaque de phishing du portail Okta avec Evilgnix

Dans cet article de blog, il est expliqué comment préparer une campagne de phishing contre un portail Okta.

Attaque d’imitation de collùgue

Les attributs que chaque utilisateur peut avoir et modifier (comme l’email ou le prĂ©nom) peuvent ĂȘtre configurĂ©s dans Okta. Si une application fait confiance Ă  un attribut que l’utilisateur peut modifier, il pourra imiter d’autres utilisateurs sur cette plateforme.

Par consĂ©quent, si l’application fait confiance au champ userName, vous ne pourrez probablement pas le changer (car vous ne pouvez gĂ©nĂ©ralement pas modifier ce champ), mais s’il fait confiance par exemple Ă  primaryEmail, vous pourriez ĂȘtre en mesure de le changer pour l’adresse email d’un collĂšgue et de l’imiter (vous devrez avoir accĂšs Ă  l’email et accepter le changement).

Notez que cette imitation dépend de la façon dont chaque application a été configurée. Seules celles faisant confiance au champ que vous avez modifié et acceptant les mises à jour seront compromises.
Par consĂ©quent, l’application devrait avoir ce champ activĂ© s’il existe :

J’ai Ă©galement vu d’autres applications qui Ă©taient vulnĂ©rables mais qui n’avaient pas ce champ dans les paramĂštres Okta (Ă  la fin, diffĂ©rentes applications sont configurĂ©es diffĂ©remment).

La meilleure façon de savoir si vous pourriez imiter quelqu’un sur chaque application serait de l’essayer !

Évasion des politiques de dĂ©tection comportementale

Les politiques de dĂ©tection comportementale dans Okta peuvent ĂȘtre inconnues jusqu’à ce qu’elles soient rencontrĂ©es, mais les contourner peut ĂȘtre rĂ©alisĂ© en ciblant directement les applications Okta, Ă©vitant le tableau de bord principal d’Okta. Avec un jeton d’accĂšs Okta, rejouez le jeton Ă  l’URL spĂ©cifique Ă  l’application Okta au lieu de la page de connexion principale.

Les recommandations clés incluent :

  • Évitez d’utiliser des proxys anonymes populaires et des services VPN lors de la relecture des jetons d’accĂšs capturĂ©s.
  • Assurez-vous que les chaĂźnes d’agent utilisateur sont cohĂ©rentes entre le client et les jetons d’accĂšs rejouĂ©s.
  • Évitez de rejouer des jetons provenant de diffĂ©rents utilisateurs depuis la mĂȘme adresse IP.
  • Faites preuve de prudence lors de la relecture des jetons contre le tableau de bord Okta.
  • Si vous connaissez les adresses IP de l’entreprise victime, limitez le trafic Ă  ces IP ou Ă  leur plage, en bloquant tout autre trafic.

Renforcement d’Okta

Okta a beaucoup de configurations possibles, sur cette page vous trouverez comment les examiner pour qu’elles soient aussi sĂ©curisĂ©es que possible :

Okta Hardening

Références

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks