Box: Auch MFA per SMS konnte von Angreifern umgangen werden

Box: Auch MFA per SMS konnte von Angreifern umgangen werden
Anzeige

Beitrag teilen

Die Sicherheitsforscher von Varonis haben eine Möglichkeit entdeckt, die Multi-Faktor-Authentifizierung (MFA) per SMS für Box-Konten zu umgehen. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne dabei auf das Telefon des Opfers zugreifen zu müssen.

Die Sicherheitsforscher haben Box diese Schwachstelle am 3. November 2021 über HackerOne gemeldet, woraufhin sie geschlossen wurde. Erst im letzten Monat zeigten die Varonis Thread Labs, wie die TOTP-basierte MFA von Box umgangen werden konnte. Beide Lücken verdeutlichen, dass Cloud-Security auch beim Einsatz von scheinbar sicheren Technologien niemals als selbstverständlich anzusehen ist und es einer mehrschichtigen Sicherheitsstrategie bedarf.

Anzeige

SMS-Code ohne Telefon des Opfers

Wie die meisten Applikationen ermöglicht Box Nutzern ohne Single Sign-On (SSO) die Verwendung einer Authentifizierungs-App (wie Okta Verify oder Google Authenticator) oder einer SMS mit einem einmaligen Sicherheitscode als zweiten Schritt der Authentifizierung. Nach der Eingabe eines Benutzernamens und eines Kennworts in das Anmeldeformular setzt Box ein Session Cookie und leitet den Benutzer entweder zu einem Formular zur Eingabe eines temporären Einmalpassworts (TOTP), wenn der Benutzer bei einer Authentifizierungs-App angemeldet ist, oder einem Formular zur Eingabe eines SMS-Codes, wenn sich der Benutzer für den Empfang eines Sicherheitscodes per SMS angemeldet hat.

Gefährliche Vermischung der MFA-Methoden

Auch wenn der Nutzer nicht zum SMS-Verifizierungsformular navigiert, wird ein Session Cookie erzeugt. Entsprechend müssen Angreifer nur die E-Mail-Adresse und das Kennwort des Benutzers eingeben, die sie bereits per Phishing erhalten oder im Dark Web erworben haben, um ein gültiges Session Cookie zu erhalten. Nachdem das Cookie generiert wurde, können die Angreifer das SMS-basierte MFA-Verfahren (bei dem der Benutzer angemeldet ist) abbrechen und stattdessen das TOTP-basierte MFA-Verfahren einleiten und so die MFA-Modi vermischen.

Anzeige
WatchGuard_Banner_0922

Die Angreifer schließen den Authentifizierungsprozess ab, indem sie eine Faktor-ID und einen Code von ihrem eigenen Box-Konto und ihrer Authentifizierungs-App an den TOTP-Verifizierungsendpunkt senden. Dabei verwenden sie das Session Cookie, das sie durch die Angabe der Anmeldedaten des Opfers erhalten haben. Bis zur Schließung der Sicherheitslücke hat Box nicht überprüft, ob das Opfer zur TOTP-Verifizierung angemeldet war und ob die verwendete Authentifizierungs-App auch tatsächlich dem zugeodneten Benutzer gehörte, der sich anmelden möchte. Dadurch war es möglich, auf das Box-Konto des Benutzers zuzugreifen, ohne das Telefon des Opfers verwenden zu müssen oder es per SMS zu benachrichtigen.

Ablauf des Box-Angriffs

  • Der Angreifer meldet sich bei der Multi-Faktor-Authentifizierung mit einer Authentifizierungs-App an und speichert die Faktor-ID des Geräts.
  • Der Angreifer gibt die E-Mail-Adresse und das Passwort des Opfers auf account.box.com/login ein.
  • Wenn das Kennwort korrekt ist, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie und wird zu /2fa/verification weitergeleitet.
  • Der Angreifer folgt jedoch nicht der Weiterleitung zum SMS-Verifizierungsformular, sondern postet seine eigene Faktor-ID und den Code von der Authenticator-App an den TOTP-Verifizierungsendpunkt /mfa/verification.
  • Der Angreifer ist nun im Konto des Opfers angemeldet, das keine SMS-Nachricht erhält und so nichts bemerkt

Der Verlauf eines solchen Angriffs wird in diesem Youtube-Video anschaulich dargestellt.

Erkenntnisse aus der Attacke

MFA ist ein wichtiger Schritt in Richtung eines sichereren Internets und einer zuverlässigeren Authentifizierung für SaaS-Anwendungen. Gleichwohl kann MFA ein falsches Gefühl von Sicherheit vermitteln: Nur weil MFA aktiviert ist, bedeutet das nicht zwangsläufig, dass ein Angreifer physischen Zugriff auf das Gerät eines Opfers erhalten muss, um dessen Konto zu kompromittieren. Deshalb kann eine verlässliche Authentifizierung immer nur eine Ebene der Sicherheit sein.

Entsprechend verdeutlicht auch diese Schwachstelle die Notwendigkeit eines datenzentrierten Ansatzes. „Sich nur auf den Perimeterschutz und eine starke Authentifizierung zu verlassen, ist grob fahrlässig“, erklärt Michael Scheffler, Country Manager DACH von Varonis Systems. „Sicherheitsverantwortliche sollten sich folgende Fragen stellen, um die Effektivität ihrer Sicherheitsstrategie zu überprüfen und gegebenenfalls nachzubessern: Kann ich erkennen, ob MFA für einen Benutzer in allen meinen SaaS-Anwendungen deaktiviert oder umgangen wurde? Auf wie viele Daten kann ein Angreifer zugreifen, wenn er ein normales Benutzerkonto kompromittiert? Erhalten nur die Benutzer Zugriff auf Dateien, die sie tatsächlich benötigen? Und sind wir in der Lage zu erkennen, wenn ein Benutzer auf ungewöhnliche Weise auf Daten zugreift?“

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Bitdefender GravityZone mit „Human Risk Analytics“

EDR-Modul jetzt auch On-Premises erhältlich zur Abmilderung von Ransomware-Attacken Bitdefender bietet ab sofort mit Human Risk Analytics eine zusätzliche Funktion ➡ Weiterlesen