Box: Auch MFA per SMS konnte von Angreifern umgangen werden

Box: Auch MFA per SMS konnte von Angreifern umgangen werden
Anzeige

Beitrag teilen

Die Sicherheitsforscher von Varonis haben eine Möglichkeit entdeckt, die Multi-Faktor-Authentifizierung (MFA) per SMS für Box-Konten zu umgehen. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne dabei auf das Telefon des Opfers zugreifen zu müssen.

Die Sicherheitsforscher haben Box diese Schwachstelle am 3. November 2021 über HackerOne gemeldet, woraufhin sie geschlossen wurde. Erst im letzten Monat zeigten die Varonis Thread Labs, wie die TOTP-basierte MFA von Box umgangen werden konnte. Beide Lücken verdeutlichen, dass Cloud-Security auch beim Einsatz von scheinbar sicheren Technologien niemals als selbstverständlich anzusehen ist und es einer mehrschichtigen Sicherheitsstrategie bedarf.

Anzeige

SMS-Code ohne Telefon des Opfers

Wie die meisten Applikationen ermöglicht Box Nutzern ohne Single Sign-On (SSO) die Verwendung einer Authentifizierungs-App (wie Okta Verify oder Google Authenticator) oder einer SMS mit einem einmaligen Sicherheitscode als zweiten Schritt der Authentifizierung. Nach der Eingabe eines Benutzernamens und eines Kennworts in das Anmeldeformular setzt Box ein Session Cookie und leitet den Benutzer entweder zu einem Formular zur Eingabe eines temporären Einmalpassworts (TOTP), wenn der Benutzer bei einer Authentifizierungs-App angemeldet ist, oder einem Formular zur Eingabe eines SMS-Codes, wenn sich der Benutzer für den Empfang eines Sicherheitscodes per SMS angemeldet hat.

Gefährliche Vermischung der MFA-Methoden

Auch wenn der Nutzer nicht zum SMS-Verifizierungsformular navigiert, wird ein Session Cookie erzeugt. Entsprechend müssen Angreifer nur die E-Mail-Adresse und das Kennwort des Benutzers eingeben, die sie bereits per Phishing erhalten oder im Dark Web erworben haben, um ein gültiges Session Cookie zu erhalten. Nachdem das Cookie generiert wurde, können die Angreifer das SMS-basierte MFA-Verfahren (bei dem der Benutzer angemeldet ist) abbrechen und stattdessen das TOTP-basierte MFA-Verfahren einleiten und so die MFA-Modi vermischen.

Anzeige

Die Angreifer schließen den Authentifizierungsprozess ab, indem sie eine Faktor-ID und einen Code von ihrem eigenen Box-Konto und ihrer Authentifizierungs-App an den TOTP-Verifizierungsendpunkt senden. Dabei verwenden sie das Session Cookie, das sie durch die Angabe der Anmeldedaten des Opfers erhalten haben. Bis zur Schließung der Sicherheitslücke hat Box nicht überprüft, ob das Opfer zur TOTP-Verifizierung angemeldet war und ob die verwendete Authentifizierungs-App auch tatsächlich dem zugeodneten Benutzer gehörte, der sich anmelden möchte. Dadurch war es möglich, auf das Box-Konto des Benutzers zuzugreifen, ohne das Telefon des Opfers verwenden zu müssen oder es per SMS zu benachrichtigen.

Ablauf des Box-Angriffs

  • Der Angreifer meldet sich bei der Multi-Faktor-Authentifizierung mit einer Authentifizierungs-App an und speichert die Faktor-ID des Geräts.
  • Der Angreifer gibt die E-Mail-Adresse und das Passwort des Opfers auf account.box.com/login ein.
  • Wenn das Kennwort korrekt ist, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie und wird zu /2fa/verification weitergeleitet.
  • Der Angreifer folgt jedoch nicht der Weiterleitung zum SMS-Verifizierungsformular, sondern postet seine eigene Faktor-ID und den Code von der Authenticator-App an den TOTP-Verifizierungsendpunkt /mfa/verification.
  • Der Angreifer ist nun im Konto des Opfers angemeldet, das keine SMS-Nachricht erhält und so nichts bemerkt

Der Verlauf eines solchen Angriffs wird in diesem Youtube-Video anschaulich dargestellt.

Erkenntnisse aus der Attacke

MFA ist ein wichtiger Schritt in Richtung eines sichereren Internets und einer zuverlässigeren Authentifizierung für SaaS-Anwendungen. Gleichwohl kann MFA ein falsches Gefühl von Sicherheit vermitteln: Nur weil MFA aktiviert ist, bedeutet das nicht zwangsläufig, dass ein Angreifer physischen Zugriff auf das Gerät eines Opfers erhalten muss, um dessen Konto zu kompromittieren. Deshalb kann eine verlässliche Authentifizierung immer nur eine Ebene der Sicherheit sein.

Entsprechend verdeutlicht auch diese Schwachstelle die Notwendigkeit eines datenzentrierten Ansatzes. „Sich nur auf den Perimeterschutz und eine starke Authentifizierung zu verlassen, ist grob fahrlässig“, erklärt Michael Scheffler, Country Manager DACH von Varonis Systems. „Sicherheitsverantwortliche sollten sich folgende Fragen stellen, um die Effektivität ihrer Sicherheitsstrategie zu überprüfen und gegebenenfalls nachzubessern: Kann ich erkennen, ob MFA für einen Benutzer in allen meinen SaaS-Anwendungen deaktiviert oder umgangen wurde? Auf wie viele Daten kann ein Angreifer zugreifen, wenn er ein normales Benutzerkonto kompromittiert? Erhalten nur die Benutzer Zugriff auf Dateien, die sie tatsächlich benötigen? Und sind wir in der Lage zu erkennen, wenn ein Benutzer auf ungewöhnliche Weise auf Daten zugreift?“

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

DSGVO-Konformität schützt auch vor Ransomware-Schäden

Was waren das für Zeiten damals 2018, als das Inkrafttreten der DSGVO für die scheinbar größtmögliche Aufregung in der Wirtschaft ➡ Weiterlesen

Gefälschten Vanity-URLs bei Zoom und Google

URL-Spoofing ermöglicht gezielte Social-Engineering-Angriffe. Varonis warnt vor gefälschten Vanity-URLs bei Zoom und Google. Die Varonis Threat Labs haben bei Zoom, Box und ➡ Weiterlesen

Die gefährlichen Neun: Malware im Kurzporträt

Die Vorstellung jeder Malware die auf Unternehmen zielt würde jeden Rahmen sprengen. Hier stellen die Varonis Threat Labs 9 wichtige ➡ Weiterlesen

Was Führungskräfte über Ransomware-Angriffe wissen sollten

Wie die meisten Branchen haben sich auch die Cyberkriminellen in den letzten zwei Jahren den veränderten Umständen angepasst und sich ➡ Weiterlesen

Die drei größten Ransomware-Trends in 2021

2021 dürfte als Jahr der Ransomware in die Cybersecurity-Geschichte eingehen. Die weltweite Liste der prominenten Opfer reicht von Pipeline-Betreibern über ➡ Weiterlesen

Varonis: Verbesserter Microsoft 365-Schutz für effektivere Ransomware-Erkennung 

Varonis bringt neue Funktionen zur Reduzierung der Datenexposition bei Microsoft 365. Neue Version verringert den Explosionsradius von Microsoft 365, ermöglicht effektivere ➡ Weiterlesen

Neue Ransomware-Gruppe ALPHV – BlackCat

Benzinversorger Oiltanking ist prominentes Opfer der neuen Ransomware-Gruppe ALPHV - BlackCat. Varonis Threat Labs: Gezielte Rekrutierung von Partnern durch finanziell attraktive ➡ Weiterlesen

Gute Aussichten für Cybersicherheitsexperten

Was können wir 2022 erwarten? Haben wir das Schlimmste hinter uns oder stehen wir erst am Anfang einer besorgniserregenden Entwicklung? ➡ Weiterlesen