Les chercheurs en sécurité de Varonis ont découvert un moyen de contourner l'authentification multifacteur (MFA) via SMS pour les comptes Box. Les attaquants avec des informations d'identification volées ont pu compromettre le compte Box d'une organisation et exfiltrer des données sensibles sans avoir à accéder au téléphone de la victime.
Les chercheurs en sécurité ont signalé cette vulnérabilité à Box via HackerOne le 3 novembre 2021, ce qui a entraîné sa fermeture. Le mois dernier, Varonis Thread Labs a démontré comment contourner le MFA basé sur TOTP de Box. Ces deux lacunes montrent clairement que la sécurité du cloud ne doit jamais être considérée comme acquise, même en cas d'utilisation de technologies apparemment sécurisées, et qu'une stratégie de sécurité à plusieurs niveaux est nécessaire.
Code SMS sans téléphone de la victime
Comme la plupart des applications, Box permet aux utilisateurs sans authentification unique (SSO) d'utiliser une application d'authentification (comme Okta Verify ou Google Authenticator) ou un SMS avec un code de sécurité à usage unique comme deuxième étape de l'authentification. Après avoir saisi un nom d'utilisateur et un mot de passe dans le formulaire de connexion, Box définit un cookie de session et dirige l'utilisateur soit vers un formulaire pour saisir un mot de passe temporaire à usage unique (TOTP) si l'utilisateur est connecté à une application d'authentification, soit vers un formulaire pour saisir un code SMS si l'utilisateur a choisi de recevoir un code de sécurité par SMS.
Mélange dangereux de méthodes MFA
Un cookie de session est également généré si l'utilisateur ne accède pas au formulaire de vérification par SMS. De même, les attaquants n'ont qu'à saisir l'adresse e-mail et le mot de passe de l'utilisateur, qu'ils ont déjà hameçonnés ou achetés sur le dark web, pour recevoir un cookie de session valide. Une fois le cookie généré, les attaquants peuvent annuler le mécanisme MFA basé sur SMS (où l'utilisateur est connecté) et lancer à la place le mécanisme MFA basé sur TOTP, mélangeant ainsi les modes MFA.
Les attaquants terminent le processus d'authentification en envoyant un ID de facteur et un code depuis leur propre compte Box et application d'authentification au point de terminaison de vérification TOTP. Ce faisant, ils utilisent le cookie de session qu'ils ont reçu en fournissant les données de connexion de la victime. Jusqu'à ce que la vulnérabilité soit corrigée, Box n'a pas vérifié que la victime était connectée pour la vérification TOTP et que l'application d'authentification utilisée appartenait réellement à l'utilisateur associé tentant de se connecter. Cela a permis d'accéder au compte Box de l'utilisateur sans avoir à utiliser le téléphone de la victime ou à lui envoyer un SMS.
Déroulement de l'attaque de la boîte
- Dans l'authentification multifacteur, l'attaquant se connecte avec une application d'authentification et enregistre l'ID de facteur de l'appareil.
- L'attaquant saisit l'adresse e-mail et le mot de passe de la victime sur account.box.com/login.
- Si le mot de passe est correct, le navigateur de l'attaquant reçoit un nouveau cookie d'authentification et est redirigé vers /2fa/verification.
- Cependant, au lieu de suivre la redirection vers le formulaire de vérification par SMS, l'attaquant publie son propre ID de facteur et son code depuis l'application d'authentification vers le point de terminaison de vérification TOTP /mfa/verification.
- L'attaquant est maintenant connecté au compte de la victime, qui ne reçoit pas de SMS et ne remarque donc rien
Le déroulement d'une telle attaque est illustré dans cette vidéo YouTube.
Découvertes de l'attaque
La MFA est une étape importante vers un Internet plus sûr et une authentification plus fiable pour les applications SaaS. Cela dit, la MFA peut donner un faux sentiment de sécurité : ce n'est pas parce que la MFA est activée qu'un attaquant doit nécessairement accéder physiquement à l'appareil d'une victime afin de compromettre son compte. Par conséquent, une authentification fiable ne peut être qu'un seul niveau de sécurité.
Par conséquent, cette vulnérabilité illustre également la nécessité d'une approche centrée sur les données. "Se fier uniquement à la protection périmétrique et à l'authentification forte est une grave négligence", explique Michael Scheffler, Country Manager DACH chez Varonis Systems. « Les responsables de la sécurité doivent se poser les questions suivantes pour examiner l'efficacité de leur stratégie de sécurité et apporter des ajustements si nécessaire : Puis-je savoir si la MFA a été désactivée ou contournée pour un utilisateur dans toutes mes applications SaaS ? À quelle quantité de données un attaquant peut-il accéder s'il compromet un compte d'utilisateur normal ? Les utilisateurs n'ont-ils accès qu'aux fichiers dont ils ont réellement besoin ? Et sommes-nous capables de détecter lorsqu'un utilisateur accède à des données de manière inhabituelle ? »
Plus sur Varonis.com
À propos de Varonis Depuis sa création en 2005, Varonis a adopté une approche différente de la plupart des fournisseurs de sécurité informatique en plaçant les données d'entreprise stockées à la fois sur site et dans le cloud au cœur de sa stratégie de sécurité : fichiers et e-mails sensibles, informations confidentielles sur les clients, les patients et les patients. Les dossiers des employés, les dossiers financiers, les plans stratégiques et de produits et toute autre propriété intellectuelle. La plate-forme de sécurité des données Varonis (DSP) détecte les menaces internes et les cyberattaques en analysant les données, l'activité des comptes, la télémétrie et le comportement des utilisateurs, prévient ou atténue les atteintes à la sécurité des données en verrouillant les données sensibles, réglementées et obsolètes, et maintient un état sûr des systèmes. grâce à une automatisation efficace.,