Los atacantes pudieron eludir la autenticación multifactor de Box.com. El equipo de investigación de Varonis descubrió una forma de reemplazar MFA con la clásica autenticación de un factor para las cuentas de Box.
Box.com se une a la larga lista de proveedores de la nube donde recientemente se descubrieron vulnerabilidades de MFA: el equipo de investigación de Varonis descubrió una forma de reemplazar MFA con una autenticación clásica de un factor para las cuentas de Box, la autenticación: use aplicaciones como Google Authenticator. Esto permitió a los atacantes con credenciales robadas comprometer la cuenta de Box de una organización y filtrar datos confidenciales sin tener que usar una contraseña de un solo uso.
Vulnerabilidad de Box.com ahora cerrada
Los investigadores de seguridad informaron esta vulnerabilidad a Box el 3 de noviembre a través de HackerOne, lo que provocó que se cerrara. Sin embargo, esta brecha de seguridad deja en claro que la seguridad en la nube nunca debe darse por sentada, incluso cuando se utilizan tecnologías aparentemente seguras. Los investigadores de seguridad de Varonis han descubierto dos omisiones más de MFA en aplicaciones SaaS ampliamente utilizadas, que se lanzarán una vez que se solucionen.
¿Cómo funciona MFA en Box?
Cuando un usuario agrega una aplicación de autenticación a su cuenta de Box, a la aplicación se le asigna un ID de factor en segundo plano. Cada vez que el usuario intenta iniciar sesión, Box le solicita su correo electrónico y contraseña, seguidos de una contraseña de un solo uso de su aplicación de autenticación.
Si el usuario no proporciona el segundo factor, no podrá acceder a los archivos y carpetas en su cuenta de Box. Esto proporciona una segunda línea de defensa en caso de que un usuario tenga una contraseña débil (o filtrada).
¿Dónde está el punto débil?
El equipo de Varonis descubrió que el punto final /mfa/unenrollment no requiere la autenticación completa del usuario para eliminar un dispositivo TOTP de una cuenta de usuario. Como resultado, uno podría excluirse con éxito de un usuario de MFA después de proporcionar un nombre de usuario y una contraseña y antes de proporcionar el segundo factor. Después de esta desactivación, fue posible iniciar sesión sin MFA y obtener acceso completo a la cuenta de Box del usuario, incluidos todos los archivos y carpetas. De esta manera, incluso las cuentas de Box protegidas por MFA podrían verse comprometidas mediante el relleno de credenciales, la fuerza bruta o las credenciales de phishing. La publicación del blog de Varonis y el video disponible allí muestran el curso exacto de un ataque.
Más en Varonis.com
Sobre Varonis Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,