Onderzoekers omzeilen op sms gebaseerde multi-factor authenticatie die box-accounts beschermt

Autenticación de múltiples factores Nachrichten

Cybersecurity-onderzoekers hebben details onthuld van een nu gepatchte bug in Box’s multi-factor authenticatie (MFA) mechanisme dat kan worden misbruikt om sms-gebaseerde login-verificatie volledig te omzeilen.

„Met deze techniek kan een aanvaller gestolen inloggegevens gebruiken om het Box-account van een organisatie te compromitteren en gevoelige gegevens te exfiltreren zonder toegang tot de telefoon van het slachtoffer“, onderzoekers van Varonis. zei in een rapport gedeeld met The Hacker News.

Het cyberbeveiligingsbedrijf zei dat het het probleem op 2 november 2021 aan de cloudserviceprovider had gemeld, na de fixes die door Box waren uitgegeven.

MFA is een authenticatiemethode die afhankelijk is van een combinatie van factoren, zoals een wachtwoord (iets dat alleen de gebruiker weet) en een tijdelijk eenmalig wachtwoord, ook bekend als TOTP (iets dat alleen de gebruiker heeft) om gebruikers een tweede verdedigingslaag te bieden tegen het vullen van referenties en andere aanvallen op accountovernames.

Deze authenticatie in twee stappen kan het verzenden van de code als sms inhouden of kan worden geopend via een authenticatie-app of een hardwarebeveiligingssleutel. Dus wanneer een Box-gebruiker die is ingeschreven voor sms-verificatie inlogt met een geldige gebruikersnaam en wachtwoord, stelt de service een sessiecookie in en wordt de gebruiker omgeleid naar een pagina waar de TOTP kan worden ingevoerd om toegang te krijgen tot het account.

De door Varonis geïdentificeerde bypass is een gevolg van wat de onderzoekers een mix van MFA-modi noemden. Het komt voor wanneer een aanvaller zich aanmeldt met de inloggegevens van het slachtoffer en de op sms gebaseerde authenticatie verlaat ten gunste van een ander proces dat bijvoorbeeld de authenticatie-app gebruikt om de aanmelding met succes te voltooien door simpelweg de TOTP te verstrekken die aan hun eigen Box-account is gekoppeld.

„Box mist dat het slachtoffer zich niet heeft ingeschreven [in] een authenticator-app, en accepteert in plaats daarvan blindelings een geldig authenticatiewachtwoord van een totaal ander account zonder eerst te controleren of het van de gebruiker was die zich aanmeldde“, aldus de onderzoekers. „Dit maakte het mogelijk om toegang te krijgen tot het Box-account van het slachtoffer zonder toegang tot hun telefoon of de gebruiker op de hoogte stellen via sms.“

Anders gezegd, Box heeft niet alleen niet alleen gecontroleerd of het slachtoffer was ingeschreven voor een authenticatie-app-gebaseerde verificatie (of een andere methode die sms blokkeert), het heeft ook niet gevalideerd dat de ingevoerde code afkomstig is van een authenticator-app die daadwerkelijk aan het slachtoffer is gekoppeld die probeert in te loggen.

De bevindingen komen iets meer dan een maand na Varonis onthuld een vergelijkbare techniek die kwaadwillende actoren in staat zou kunnen stellen verificatie op basis van authenticatie te omzeilen door „uitschrijven“[ing] een gebruiker van MFA na het verstrekken van een gebruikersnaam en wachtwoord, maar voordat de tweede factor is opgegeven.“

„Het /mfa/unenrollment-eindpunt vereiste niet dat de gebruiker volledig geauthenticeerd was om een ​​TOTP-apparaat uit het account van een gebruiker te verwijderen“, merkten de onderzoekers begin december 2021 op.

„MFA is maar zo goed als de ontwikkelaar die de code schrijft [and] kan een vals gevoel van veiligheid bieden“, concludeerden de onderzoekers. „Het feit dat MFA is ingeschakeld, betekent niet noodzakelijk dat een aanvaller fysieke toegang moet krijgen tot het apparaat van een slachtoffer om hun account te compromitteren.“

David
Rate author
Hackarizona