Box: Auch MFA per SMS konnte von Angreifern umgangen werden

Box: Auch MFA per SMS konnte von Angreifern umgangen werden

Beitrag teilen

Die Sicherheitsforscher von Varonis haben eine Möglichkeit entdeckt, die Multi-Faktor-Authentifizierung (MFA) per SMS für Box-Konten zu umgehen. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne dabei auf das Telefon des Opfers zugreifen zu müssen.

Die Sicherheitsforscher haben Box diese Schwachstelle am 3. November 2021 über HackerOne gemeldet, woraufhin sie geschlossen wurde. Erst im letzten Monat zeigten die Varonis Thread Labs, wie die TOTP-basierte MFA von Box umgangen werden konnte. Beide Lücken verdeutlichen, dass Cloud-Security auch beim Einsatz von scheinbar sicheren Technologien niemals als selbstverständlich anzusehen ist und es einer mehrschichtigen Sicherheitsstrategie bedarf.

Anzeige

SMS-Code ohne Telefon des Opfers

Wie die meisten Applikationen ermöglicht Box Nutzern ohne Single Sign-On (SSO) die Verwendung einer Authentifizierungs-App (wie Okta Verify oder Google Authenticator) oder einer SMS mit einem einmaligen Sicherheitscode als zweiten Schritt der Authentifizierung. Nach der Eingabe eines Benutzernamens und eines Kennworts in das Anmeldeformular setzt Box ein Session Cookie und leitet den Benutzer entweder zu einem Formular zur Eingabe eines temporären Einmalpassworts (TOTP), wenn der Benutzer bei einer Authentifizierungs-App angemeldet ist, oder einem Formular zur Eingabe eines SMS-Codes, wenn sich der Benutzer für den Empfang eines Sicherheitscodes per SMS angemeldet hat.

Gefährliche Vermischung der MFA-Methoden

Auch wenn der Nutzer nicht zum SMS-Verifizierungsformular navigiert, wird ein Session Cookie erzeugt. Entsprechend müssen Angreifer nur die E-Mail-Adresse und das Kennwort des Benutzers eingeben, die sie bereits per Phishing erhalten oder im Dark Web erworben haben, um ein gültiges Session Cookie zu erhalten. Nachdem das Cookie generiert wurde, können die Angreifer das SMS-basierte MFA-Verfahren (bei dem der Benutzer angemeldet ist) abbrechen und stattdessen das TOTP-basierte MFA-Verfahren einleiten und so die MFA-Modi vermischen.

Die Angreifer schließen den Authentifizierungsprozess ab, indem sie eine Faktor-ID und einen Code von ihrem eigenen Box-Konto und ihrer Authentifizierungs-App an den TOTP-Verifizierungsendpunkt senden. Dabei verwenden sie das Session Cookie, das sie durch die Angabe der Anmeldedaten des Opfers erhalten haben. Bis zur Schließung der Sicherheitslücke hat Box nicht überprüft, ob das Opfer zur TOTP-Verifizierung angemeldet war und ob die verwendete Authentifizierungs-App auch tatsächlich dem zugeodneten Benutzer gehörte, der sich anmelden möchte. Dadurch war es möglich, auf das Box-Konto des Benutzers zuzugreifen, ohne das Telefon des Opfers verwenden zu müssen oder es per SMS zu benachrichtigen.

Ablauf des Box-Angriffs

  • Der Angreifer meldet sich bei der Multi-Faktor-Authentifizierung mit einer Authentifizierungs-App an und speichert die Faktor-ID des Geräts.
  • Der Angreifer gibt die E-Mail-Adresse und das Passwort des Opfers auf account.box.com/login ein.
  • Wenn das Kennwort korrekt ist, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie und wird zu /2fa/verification weitergeleitet.
  • Der Angreifer folgt jedoch nicht der Weiterleitung zum SMS-Verifizierungsformular, sondern postet seine eigene Faktor-ID und den Code von der Authenticator-App an den TOTP-Verifizierungsendpunkt /mfa/verification.
  • Der Angreifer ist nun im Konto des Opfers angemeldet, das keine SMS-Nachricht erhält und so nichts bemerkt

Der Verlauf eines solchen Angriffs wird in diesem Youtube-Video anschaulich dargestellt.

Erkenntnisse aus der Attacke

MFA ist ein wichtiger Schritt in Richtung eines sichereren Internets und einer zuverlässigeren Authentifizierung für SaaS-Anwendungen. Gleichwohl kann MFA ein falsches Gefühl von Sicherheit vermitteln: Nur weil MFA aktiviert ist, bedeutet das nicht zwangsläufig, dass ein Angreifer physischen Zugriff auf das Gerät eines Opfers erhalten muss, um dessen Konto zu kompromittieren. Deshalb kann eine verlässliche Authentifizierung immer nur eine Ebene der Sicherheit sein.

Entsprechend verdeutlicht auch diese Schwachstelle die Notwendigkeit eines datenzentrierten Ansatzes. „Sich nur auf den Perimeterschutz und eine starke Authentifizierung zu verlassen, ist grob fahrlässig“, erklärt Michael Scheffler, Country Manager DACH von Varonis Systems. „Sicherheitsverantwortliche sollten sich folgende Fragen stellen, um die Effektivität ihrer Sicherheitsstrategie zu überprüfen und gegebenenfalls nachzubessern: Kann ich erkennen, ob MFA für einen Benutzer in allen meinen SaaS-Anwendungen deaktiviert oder umgangen wurde? Auf wie viele Daten kann ein Angreifer zugreifen, wenn er ein normales Benutzerkonto kompromittiert? Erhalten nur die Benutzer Zugriff auf Dateien, die sie tatsächlich benötigen? Und sind wir in der Lage zu erkennen, wenn ein Benutzer auf ungewöhnliche Weise auf Daten zugreift?“

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen