बॉक्स: एसएमएस के माध्यम से एमएफए को भी हमलावरों द्वारा दरकिनार किया जा सकता है

वरोनिस सुरक्षा शोधकर्ताओं ने बॉक्स खातों के लिए एसएमएस के माध्यम से मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) को बायपास करने का एक तरीका खोजा है। चोरी किए गए क्रेडेंशियल्स वाले हमलावर किसी संगठन के बॉक्स खाते से समझौता करने और पीड़ित के फोन तक पहुंच के बिना संवेदनशील डेटा को बाहर निकालने में सक्षम थे।

सुरक्षा शोधकर्ताओं ने 3 नवंबर, 2021 को HackerOne के माध्यम से Box को इस भेद्यता की सूचना दी, जिसने इसे बंद करने के लिए प्रेरित किया। अभी पिछले महीने, वरोनिस थ्रेड लैब्स ने प्रदर्शित किया कि बॉक्स के टीओटीपी-आधारित एमएफए को कैसे बायपास किया जाए। दोनों अंतराल यह स्पष्ट करते हैं कि स्पष्ट रूप से सुरक्षित तकनीकों का उपयोग करते समय भी क्लाउड सुरक्षा को कभी भी हल्के में नहीं लिया जाना चाहिए, और इसके लिए एक बहुस्तरीय सुरक्षा रणनीति की आवश्यकता होती है।

पीड़ित के फोन के बिना एसएमएस कोड

अधिकांश अनुप्रयोगों की तरह, बॉक्स उपयोगकर्ताओं को प्रमाणीकरण के दूसरे चरण के रूप में एक बार के सुरक्षा कोड के साथ एक प्रमाणक ऐप (जैसे ओक्टा सत्यापन या Google प्रमाणीकरणकर्ता) या एक एसएमएस के साथ एकल साइन-ऑन (एसएसओ) के बिना उपयोगकर्ताओं को अनुमति देता है। लॉगिन फॉर्म में एक उपयोगकर्ता नाम और पासवर्ड दर्ज करने के बाद, बॉक्स एक सत्र कुकी सेट करता है और उपयोगकर्ता को एक अस्थायी वन-टाइम पासवर्ड (टीओटीपी) दर्ज करने के लिए निर्देशित करता है यदि उपयोगकर्ता एक प्रमाणक ऐप में लॉग इन है, या एक फॉर्म दर्ज करने के लिए एक एसएमएस कोड यदि उपयोगकर्ता ने एसएमएस के माध्यम से सुरक्षा कोड प्राप्त करने का विकल्प चुना है।

एमएफए विधियों का खतरनाक मिश्रण

यदि उपयोगकर्ता एसएमएस सत्यापन फॉर्म पर नेविगेट नहीं करता है तो एक सत्र कुकी भी उत्पन्न होती है। इसी तरह, हमलावरों को वैध सत्र कुकी प्राप्त करने के लिए केवल उपयोगकर्ता का ईमेल पता और पासवर्ड दर्ज करने की आवश्यकता होती है, जिसे उन्होंने पहले ही फ़िश किया है या डार्क वेब पर खरीदा है। कुकी उत्पन्न होने के बाद, हमलावर एसएमएस-आधारित एमएफए तंत्र (जहां उपयोगकर्ता साइन इन है) को रद्द कर सकते हैं और इसके बजाय टीओटीपी-आधारित एमएफए तंत्र शुरू कर सकते हैं, इस प्रकार एमएफए मोड को मिला सकते हैं।

हमलावर अपने स्वयं के बॉक्स खाते और प्रमाणक ऐप से TOTP सत्यापन समापन बिंदु पर एक कारक आईडी और कोड भेजकर प्रमाणीकरण प्रक्रिया को पूरा करते हैं। ऐसा करने में, वे उस सत्र कुकी का उपयोग करते हैं जो उन्हें पीड़ित का लॉगिन डेटा प्रदान करके प्राप्त हुई थी। जब तक भेद्यता को पैच नहीं किया गया था, तब तक बॉक्स ने यह सत्यापित नहीं किया कि पीड़ित TOTP सत्यापन के लिए लॉग इन किया गया था और यह कि वास्तव में इस्तेमाल किया गया प्रमाणक ऐप लॉग इन करने का प्रयास करने वाले संबद्ध उपयोगकर्ता का था। इससे पीड़ित के फोन का उपयोग किए बिना या उन्हें टेक्स्ट किए बिना उपयोगकर्ता के बॉक्स खाते तक पहुंचना संभव हो गया।

बॉक्स अटैक का प्रवाह

• मल्टी-फैक्टर ऑथेंटिकेशन में हमलावर ऑथेंटिकेटर ऐप से लॉग इन करता है और डिवाइस की फैक्टर आईडी सेव कर लेता है।
• हमलावर पीड़ित के ईमेल पते और पासवर्ड को account.box.com/login पर दर्ज करता है।
• यदि पासवर्ड सही है, तो हमलावर के ब्राउज़र को एक नई प्रमाणीकरण कुकी प्राप्त होती है और उसे /2fa/सत्यापन पर पुनर्निर्देशित किया जाता है।
• हालांकि, एसएमएस सत्यापन फॉर्म पर रीडायरेक्ट का पालन करने के बजाय, हमलावर प्रमाणक ऐप से टीओटीपी सत्यापन समापन बिंदु/एमएफए/सत्यापन पर अपनी स्वयं की कारक आईडी और कोड पोस्ट करता है।
• हमलावर अब पीड़ित के खाते में लॉग इन है, जिसे एसएमएस संदेश प्राप्त नहीं होता है और इस प्रकार कुछ भी ध्यान नहीं देता है

इस तरह के हमले का कोर्स इस YouTube वीडियो में दिखाया गया है.

हमले से निष्कर्ष

सास अनुप्रयोगों के लिए सुरक्षित इंटरनेट और अधिक विश्वसनीय प्रमाणीकरण की दिशा में एमएफए एक महत्वपूर्ण कदम है। उस ने कहा, एमएफए सुरक्षा की झूठी भावना प्रदान कर सकता है: सिर्फ इसलिए कि एमएफए सक्षम है इसका मतलब यह नहीं है कि किसी हमलावर को अपने खाते से छेड़छाड़ करने के लिए पीड़ित के डिवाइस तक भौतिक पहुंच प्राप्त करने की आवश्यकता है। इसलिए, विश्वसनीय प्रमाणीकरण कभी भी सुरक्षा का केवल एक स्तर हो सकता है।

तदनुसार, यह भेद्यता डेटा-केंद्रित दृष्टिकोण की आवश्यकता को भी दर्शाती है। "केवल परिधि सुरक्षा और मजबूत प्रमाणीकरण पर भरोसा करना घोर लापरवाही है," वेरोनिस सिस्टम्स में कंट्री मैनेजर DACH माइकल शेफ़लर बताते हैं। "सुरक्षा नेताओं को अपनी सुरक्षा रणनीति की प्रभावशीलता की समीक्षा करने और जहां आवश्यक हो वहां समायोजन करने के लिए खुद से निम्नलिखित प्रश्न पूछने चाहिए: क्या मैं बता सकता हूं कि मेरे सभी सास अनुप्रयोगों में उपयोगकर्ता के लिए एमएफए अक्षम या बाईपास किया गया है या नहीं? यदि वे नियमित उपयोगकर्ता खाते से समझौता करते हैं तो हमलावर कितना डेटा एक्सेस कर सकता है? क्या उपयोगकर्ताओं को केवल उन फ़ाइलों तक पहुंच प्राप्त होती है जिनकी उन्हें वास्तव में आवश्यकता होती है? और क्या हम यह पता लगाने में सक्षम हैं कि कोई उपयोगकर्ता कब असामान्य तरीके से डेटा एक्सेस कर रहा है?"

Varonis.com पर अधिक

 

---

वरोनिस के बारे में

2005 में अपनी स्थापना के बाद से, Varonis ने अपनी सुरक्षा रणनीति के केंद्र में ऑन-प्रिमाइसेस और क्लाउड दोनों में संग्रहीत कॉर्पोरेट डेटा रखकर अधिकांश IT सुरक्षा विक्रेताओं के लिए एक अलग दृष्टिकोण लिया है: संवेदनशील फ़ाइलें और ईमेल, गोपनीय ग्राहक, रोगी और रोगी जानकारी कर्मचारी रिकॉर्ड, वित्तीय रिकॉर्ड, रणनीतिक और उत्पाद योजना, और अन्य बौद्धिक संपदा। Varonis Data Security Platform (DSP) डेटा, खाता गतिविधि, टेलीमेट्री और उपयोगकर्ता के व्यवहार का विश्लेषण करके अंदरूनी खतरों और साइबर हमलों का पता लगाता है, संवेदनशील, विनियमित और बासी डेटा को लॉक करके डेटा सुरक्षा उल्लंघनों को रोकता या कम करता है, और सिस्टम की सुरक्षित स्थिति बनाए रखता है। कुशल स्वचालन के माध्यम से।,

---

 

विषय से संबंधित लेख