Les attaquants ont pu contourner l'authentification multifacteur de Box.com. L'équipe de recherche de Varonis a découvert un moyen de remplacer la MFA par une authentification classique à un facteur pour les comptes Box.
Box.com rejoint la longue liste des fournisseurs de cloud où des vulnérabilités MFA ont été récemment découvertes : l'équipe de recherche de Varonis a découvert un moyen de remplacer MFA par une authentification classique à un facteur pour les comptes Box, l'authentification -Utilisez des applications comme Google Authenticator. Cela a permis aux attaquants avec des informations d'identification volées de compromettre le compte Box d'une organisation et d'exfiltrer des données sensibles sans avoir à utiliser un mot de passe à usage unique.
La vulnérabilité Box.com est maintenant fermée
Les chercheurs en sécurité ont signalé cette vulnérabilité à Box le 3 novembre via HackerOne, ce qui a entraîné sa fermeture. Néanmoins, cette lacune de sécurité montre clairement que la sécurité du cloud ne doit jamais être considérée comme acquise, même lors de l'utilisation de technologies apparemment sécurisées. Les chercheurs en sécurité de Varonis ont découvert deux autres contournements MFA dans des applications SaaS largement utilisées, qui seront publiés après leur correction.
Comment fonctionne MFA sur Box ?
Lorsqu'un utilisateur ajoute une application d'authentification à son compte Box, l'application se voit attribuer un ID de facteur dans les coulisses. Chaque fois que l'utilisateur essaie de se connecter, Box demande à l'utilisateur son adresse e-mail et son mot de passe, suivis d'un mot de passe à usage unique depuis son application d'authentification.
Si l'utilisateur ne fournit pas le deuxième facteur, il ne pourra pas accéder aux fichiers et dossiers de son compte Box. Cela fournit une deuxième ligne de défense au cas où un utilisateur aurait un mot de passe faible (ou divulgué).
Où est le point faible ?
L'équipe Varonis a constaté que le point de terminaison /mfa/unenrollment ne nécessite pas une authentification complète de l'utilisateur pour supprimer un appareil TOTP d'un compte utilisateur. Par conséquent, il est possible de désactiver avec succès un utilisateur de MFA après avoir fourni un nom d'utilisateur et un mot de passe et avant de fournir le deuxième facteur. Après cette désactivation, il était possible de se connecter sans MFA et d'obtenir un accès complet au compte Box de l'utilisateur, y compris tous les fichiers et dossiers. De cette façon, même les comptes Box sécurisés par MFA pourraient être compromis par le bourrage d'informations d'identification, la force brute ou les informations d'identification de phishing. Le billet du blog Varonis et la vidéo qui y est disponible montrent le déroulement exact d'une attaque.
Plus sur Varonis.com
À propos de Varonis Depuis sa création en 2005, Varonis a adopté une approche différente de la plupart des fournisseurs de sécurité informatique en plaçant les données d'entreprise stockées à la fois sur site et dans le cloud au cœur de sa stratégie de sécurité : fichiers et e-mails sensibles, informations confidentielles sur les clients, les patients et les patients. Les dossiers des employés, les dossiers financiers, les plans stratégiques et de produits et toute autre propriété intellectuelle. La plate-forme de sécurité des données Varonis (DSP) détecte les menaces internes et les cyberattaques en analysant les données, l'activité des comptes, la télémétrie et le comportement des utilisateurs, prévient ou atténue les atteintes à la sécurité des données en verrouillant les données sensibles, réglementées et obsolètes, et maintient un état sûr des systèmes. grâce à une automatisation efficace.,