In der Gerätezugangs-steuerungssoftware Okta Verify Agent for Windows klafft eine Sicherheitslücke, die Angreifern das Abgreifen von Passwörtern ermöglicht. Ein Sicherheitsupdate steht bereit. IT-Verantwortliche sollten die Aktualisierung zeitnah verteilen.
Anzeige
Okta erörtert in einer Sicherheitsmitteilung, dass der Okta Verify Agent for Windows Zugriff auf die OktaDeviceAccessPipe bietet, wodurch Angreifer, die bereits Zugriff auf verwundbare Systeme haben, Passwörter abgreifen können, die zu Oktas Desktop MFA Passwordless Logins gehören (CVE-2024-9191, CVSS 7.1, Risiko "hoch"). Das ermöglicht unter Umständen erweiterten Zugriff auf das System oder auf weitere Netzwerkressourcen.
Die Schwachstelle betrifft ausschließlich den Agent for Windows, zudem muss die Funktion "Device Acess Passwordless" aktiviert sein. Wo die Funktion nicht genutzt und lediglich "FastPass" eingesetzt wird oder auf anderen Betriebssystemen sei der sicherheitsrelevante Fehler nicht vorhanden, bekräftigt der Hersteller.
Verwundbar ist Okta Verify for Windows ab Version 5.0.2 bis einschließlich 5.3.2. Okta empfiehlt, auf die korrigierte Version Okta Verify for Windows 5.3.3 zu aktualisieren. Die Early-Access-Version stand seit Mitte September bereit, die Release-Notes weisen den 18. Oktober für das Release aus, während die Sicherheitsmitteilung vom 25. Oktober für die allgemeine Verfügbarkeit spricht. Da Okta die Schwachstelle als hohes Risiko einstuft, sollten Admins die Aktualisierung der Gerätezugangskontrollsoftware zügig in ihren Netzen verteilen.
Okta geriet vor etwa einem Jahr in den Fokus, da dort Kriminelle in die Systeme eingebrochen sind und Daten von allen Kunden abgegriffen hatten, die den Support von Okta in Anspruch genommen hatten. In ersten Stellungnahmen sprach das Unternehmen noch davon, dass lediglich Daten von 134 Kunden kopiert worden seien.
Anzeige
(
Kommentare