Recuadro: los atacantes también podrían eludir MFA a través de SMS

29. Enero 2022
| No hay comentarios
Recuadro: los atacantes también podrían eludir MFA a través de SMS

Compartir publicación

Los investigadores de seguridad de Varonis han descubierto una forma de eludir la autenticación multifactor (MFA) a través de SMS para las cuentas de Box. Los atacantes con credenciales robadas pudieron comprometer la cuenta de Box de una organización y filtrar datos confidenciales sin tener que acceder al teléfono de la víctima.

Los investigadores de seguridad informaron esta vulnerabilidad a Box a través de HackerOne el 3 de noviembre de 2021, lo que provocó su cierre. El mes pasado, Varonis Thread Labs demostró cómo eludir el MFA basado en TOTP de Box. Ambas brechas dejan en claro que la seguridad en la nube nunca debe darse por sentada, incluso cuando se usan tecnologías aparentemente seguras, y que se requiere una estrategia de seguridad de varias capas.

Código SMS sin teléfono de la víctima

Como la mayoría de las aplicaciones, Box permite a los usuarios sin inicio de sesión único (SSO) usar una aplicación de autenticación (como Okta Verify o Google Authenticator) o un SMS con un código de seguridad único como segundo paso de autenticación. Después de ingresar un nombre de usuario y contraseña en el formulario de inicio de sesión, Box establece una cookie de sesión y dirige al usuario a un formulario para ingresar una contraseña temporal de un solo uso (TOTP) si el usuario inició sesión en una aplicación de autenticación, o a un formulario para ingresar un código SMS si el usuario ha optado por recibir un código de seguridad a través de SMS.

Mezcla peligrosa de métodos MFA

También se genera una cookie de sesión si el usuario no navega hasta el formulario de verificación por SMS. Del mismo modo, los atacantes solo necesitan ingresar la dirección de correo electrónico y la contraseña del usuario, que ya han robado o comprado en la web oscura, para recibir una cookie de sesión válida. Una vez que se genera la cookie, los atacantes pueden cancelar el mecanismo MFA basado en SMS (donde el usuario inicia sesión) y, en su lugar, iniciar el mecanismo MFA basado en TOTP, mezclando así los modos MFA.

Los atacantes completan el proceso de autenticación enviando una identificación de factor y un código desde su propia cuenta de Box y aplicación de autenticación al punto final de verificación TOTP. Al hacerlo, utilizan la cookie de sesión que recibieron al proporcionar los datos de inicio de sesión de la víctima. Hasta que se corrigió la vulnerabilidad, Box no verificó que la víctima hubiera iniciado sesión para la verificación TOTP y que la aplicación de autenticación utilizada en realidad perteneciera al usuario asociado que intentaba iniciar sesión. Esto hizo posible acceder a la cuenta de Box del usuario sin tener que usar el teléfono de la víctima o enviarle mensajes de texto.

Flujo del ataque de caja

  • En la autenticación multifactor, el atacante inicia sesión con una aplicación de autenticación y guarda la identificación del factor del dispositivo.
  • El atacante ingresa la dirección de correo electrónico y la contraseña de la víctima en account.box.com/login.
  • Si la contraseña es correcta, el navegador del atacante recibe una nueva cookie de autenticación y es redirigido a /2fa/verification.
  • Sin embargo, en lugar de seguir la redirección al formulario de verificación por SMS, el atacante publica su propia identificación y código de factor desde la aplicación de autenticación al punto final de verificación TOTP /mfa/verification.
  • El atacante ahora está conectado a la cuenta de la víctima, que no recibe un mensaje SMS y, por lo tanto, no nota nada.

El curso de tal ataque. se ilustra en este video de YouTube.

Hallazgos del ataque

MFA es un paso importante hacia una Internet más segura y una autenticación más confiable para las aplicaciones SaaS. Dicho esto, MFA puede proporcionar una falsa sensación de seguridad: el hecho de que MFA esté habilitado no significa necesariamente que un atacante deba obtener acceso físico al dispositivo de una víctima para comprometer su cuenta. Por lo tanto, la autenticación confiable solo puede ser un nivel de seguridad.

En consecuencia, esta vulnerabilidad también ilustra la necesidad de un enfoque centrado en los datos. "Confiar únicamente en la protección del perímetro y la autenticación sólida es una negligencia grave", explica Michael Scheffler, Gerente de País DACH en Varonis Systems. “Los líderes de seguridad deben hacerse las siguientes preguntas para revisar la efectividad de su estrategia de seguridad y hacer los ajustes necesarios: ¿Puedo saber si MFA se deshabilitó o se omitió para un usuario en todas mis aplicaciones SaaS? ¿A cuántos datos puede acceder un atacante si compromete una cuenta de usuario normal? ¿Los usuarios solo obtienen acceso a los archivos que realmente necesitan? ¿Y somos capaces de detectar cuándo un usuario accede a los datos de formas inusuales?

Más en Varonis.com

 

Sobre Varonis

Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

Noticias de prensa
, , , , , ,