Okta: Sicherheitslücke in Verify gibt Angreifern Zugriff auf Passwörter
In Verify von Okta können Angreifer eine Sicherheitslücke im Windows-Agent missbrauchen, um Passwörter abzugreifen. Eine weitere Lücke betrifft Okta AD/LDAP.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
In der Gerätezugangs-steuerungssoftware Okta Verify Agent for Windows klafft eine Sicherheitslücke, die Angreifern das Abgreifen von Passwörtern ermöglicht. Ein Sicherheitsupdate steht bereit. IT-Verantwortliche sollten die Aktualisierung zeitnah verteilen.
Okta erörtert in einer Sicherheitsmitteilung, dass der Okta Verify Agent for Windows Zugriff auf die OktaDeviceAccessPipe bietet, wodurch Angreifer, die bereits Zugriff auf verwundbare Systeme haben, Passwörter abgreifen können, die zu Oktas Desktop MFA Passwordless Logins gehören (CVE-2024-9191, CVSS 7.1, Risiko "hoch"). Das ermöglicht unter Umständen erweiterten Zugriff auf das System oder auf weitere Netzwerkressourcen.
Okta-Lücke betrifft Windows-Rechner
Die Schwachstelle betrifft ausschließlich den Agent for Windows, zudem muss die Funktion "Device Acess Passwordless" aktiviert sein. Wo die Funktion nicht genutzt und lediglich "FastPass" eingesetzt wird oder auf anderen Betriebssystemen sei der sicherheitsrelevante Fehler nicht vorhanden, bekräftigt der Hersteller.
Verwundbar ist Okta Verify for Windows ab Version 5.0.2 bis einschließlich 5.3.2. Okta empfiehlt, auf die korrigierte Version Okta Verify for Windows 5.3.3 zu aktualisieren. Die Early-Access-Version stand seit Mitte September bereit, die Release-Notes weisen den 18. Oktober für das Release aus, während die Sicherheitsmitteilung vom 25. Oktober für die allgemeine Verfügbarkeit spricht. Da Okta die Schwachstelle als hohes Risiko einstuft, sollten Admins die Aktualisierung der Gerätezugangskontrollsoftware zügig in ihren Netzen verteilen.
Schwachstelle in Okta AD/LDAP Delegated Authentication
Eine weitere Sicherheitsmitteilung von Okta betrifft Okta AD/LDAP Delegated Authentication. Sofern ein Nutzername mit 52 Zeichen oder mehr verwendet und der Nutzer zuvor eine erfolgreiche Anmeldung gecachet hat, wurde bei einer gestörten Netzwerkverbindung der Cache zuerst genutzt. Dadurch konnten sich Angreifer erfolgreich anmelden, sofern keine Multi-Faktor-Authentifizierung (MFA) aktiv war. Die Schwachstelle hat keinen CVE-Eintrag erhalten, es liegt auch keine Einordnung des Schweregrads nach CVSS vor. Die Lücke bestand zwischen dem 23. Juli und 30. Oktober 2024. Admins mit diesen genannten Vorbedingungen sollten ihre Okta-System-Logs auf unerwartete Anmeldungen mit Nutzernamen mit mehr als 52 Zeichen in diesem Zeitraum prüfen und umgehend MFA aktivieren.
Okta geriet vor etwa einem Jahr in den Fokus, da dort Kriminelle in die Systeme eingebrochen sind und Daten von allen Kunden abgegriffen hatten, die den Support von Okta in Anspruch genommen hatten. In ersten Stellungnahmen sprach das Unternehmen noch davon, dass lediglich Daten von 134 Kunden kopiert worden seien.
(dmk)