ช่องโหว่ใน OKTA VERIFY AGENT บน WINDOWS เปิดโอกาสให้ผู้โจมตีขโมยรหัสผ่านของผู้ใช้

SECURITY | Okta | Verify |

Okta ซึ่งเป็นบริษัทด้านการจัดการการระบุตัวตนและการเข้าถึง ได้แก้ไขช่องโหว่ร้ายแรงในโปรแกรม Verify agent สำหรับ Windows ที่อาจให้ผู้โจมตีสามารถขโมยรหัสผ่านของผู้ใช้ได้ โดยช่องโหว่นี้ถูกค้นพบจากการทดสอบเจาะระบบเป็นประจำ และกระทบกับรุ่น 5.0.2 ถึง 5.3.2 ของ Okta Verify agent บน Windows
ช่องโหว่นี้ ซึ่งถูกติดตามในรหัส CVE-2024-9191 เกี่ยวข้องกับฟีเจอร์ Okta Device Access ที่ทำให้ผู้โจมตีที่มีการเข้าถึงอุปกรณ์ที่ถูกโจมตีสามารถดึงรหัสผ่านที่เชื่อมโยงกับการล็อกอินแบบ Desktop MFA ที่ไม่ใช้รหัสผ่านผ่าน OktaDeviceAccessPipe ได้
สิ่งสำคัญคือช่องโหว่นี้จะมีผลกับผู้ใช้ฟีเจอร์ Okta Device Access แบบไม่ใช้รหัสผ่านเท่านั้น ลูกค้าที่ใช้ Okta Verify บนแพลตฟอร์มอื่นหรือใช้เฉพาะ FastPass จะไม่ได้รับผลกระทบ
Okta ได้ออกอัปเดตแก้ไขในเวอร์ชัน 5.3.3 ของ Verify agent สำหรับ Windows และแนะนำให้ลูกค้าที่ได้รับผลกระทบทั้งหมดอัปเกรดเป็นเวอร์ชันนี้หรือต่อๆ ไปเพื่อบรรเทาความเสี่ยง
ในส่วนของช่วงเวลาการค้นพบช่องโหว่นี้ พบว่าถูกนำมาในวันที่ 17 เมษายน 2024 ในเวอร์ชัน 5.0.2 โดยมีการปล่อยรุ่น Early Access ที่แก้ไขในวันที่ 20 กันยายน 2024 และรุ่นใช้งานทั่วไปในวันที่ 25 ตุลาคม 2024
เหตุการณ์นี้ชี้ให้เห็นถึงความสำคัญของการตรวจสอบความปลอดภัยเป็นประจำและการแก้ไขช่องโหว่อย่างรวดเร็ว ผู้ใช้ Okta ควรตื่นตัวและอัปเดตซอฟต์แวร์อยู่เสมอเพื่อป้องกันภัยคุกคามทางความปลอดภัย และองค์กรควรเน้นการรักษาความปลอดภัยของระบบโดยรวมเพื่อป้องกันการเข้าถึงอุปกรณ์ที่อาจถูกโจมตีตั้งแต่แรก

แหล่งที่มา : https://cybersecuritynews.com/okta-verify-agent-windows-flaw/
see more of

Articles

ENQUIRY FORM

Copyright © 2007 - 2022 ORANGE TECHNOLOGY SOLUTION COMPANY LIMITED ALL RIGHTS RESERVED

ORANGE TECHNOLOGY SOLUTION COMPANY LIMITED มีนโยบายใช้งานคุกกี้ (Cookies) เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้เว็บไซต์ ท่านสามารถศึกษารายละเอียดการใช้คุกกี้ได้ที่ “นโยบายการใช้คุกกี้ (Cookies Policy)” และสามารถเลือกตั้งค่ายินยอมการใช้คุกกี้ได้โดยคลิก “การตั้งค่าคุกกี้”

ยอมรับทั้งหมด