I ricercatori di sicurezza di Varonis hanno scoperto un modo per aggirare l'autenticazione a più fattori (MFA) tramite SMS per gli account Box. Gli aggressori con credenziali rubate sono stati in grado di compromettere l'account Box di un'organizzazione ed esfiltrare dati sensibili senza dover accedere al telefono della vittima.
I ricercatori di sicurezza hanno segnalato questa vulnerabilità a Box tramite HackerOne il 3 novembre 2021, che ne ha provocato la chiusura. Proprio il mese scorso, Varonis Thread Labs ha dimostrato come aggirare l'MFA basato su TOTP di Box. Entrambe le lacune chiariscono che la sicurezza del cloud non dovrebbe mai essere data per scontata, anche quando si utilizzano tecnologie apparentemente sicure, e che è necessaria una strategia di sicurezza a più livelli.
Codice SMS senza telefono della vittima
Come la maggior parte delle applicazioni, Box consente agli utenti senza Single Sign-On (SSO) di utilizzare un'app di autenticazione (come Okta Verify o Google Authenticator) o un SMS con un codice di sicurezza monouso come secondo passaggio dell'autenticazione. Dopo aver inserito un nome utente e una password nel modulo di accesso, Box imposta un cookie di sessione e indirizza l'utente a un modulo per inserire una password monouso temporanea (TOTP) se l'utente ha effettuato l'accesso a un'app di autenticazione o a un modulo per accedere one codici SMS se l'utente ha scelto di ricevere un codice di sicurezza tramite SMS.
Miscelazione pericolosa di metodi MFA
Un cookie di sessione viene generato anche se l'utente non accede al modulo di verifica SMS. Allo stesso modo, gli aggressori devono solo inserire l'indirizzo e-mail e la password dell'utente, che hanno già phishing o acquistato sul dark web, per ricevere un cookie di sessione valido. Dopo la generazione del cookie, gli aggressori possono annullare il meccanismo MFA basato su SMS (dove l'utente ha effettuato l'accesso) e avviare invece il meccanismo MFA basato su TOTP, mescolando così le modalità MFA.
Gli aggressori completano il processo di autenticazione inviando un ID fattore e un codice dal proprio account Box e dall'app di autenticazione all'endpoint di verifica TOTP. In tal modo, utilizzano il cookie di sessione che hanno ricevuto fornendo i dati di accesso della vittima. Fino a quando la vulnerabilità non è stata corretta, Box non ha verificato che la vittima avesse effettuato l'accesso per la verifica TOTP e che l'app di autenticazione utilizzata appartenesse effettivamente all'utente associato che tentava di accedere. Ciò ha permesso di accedere all'account Box dell'utente senza dover utilizzare il telefono della vittima o inviare messaggi di testo.
Flusso del Box Attack
- Nell'autenticazione a più fattori, l'attaccante accede con un'app di autenticazione e salva l'ID fattore del dispositivo.
- L'aggressore inserisce l'indirizzo e-mail e la password della vittima su account.box.com/login.
- Se la password è corretta, il browser dell'aggressore riceve un nuovo cookie di autenticazione e viene reindirizzato a /2fa/verifica.
- Tuttavia, invece di seguire il reindirizzamento al modulo di verifica SMS, l'attaccante invia il proprio ID fattore e codice dall'app di autenticazione all'endpoint di verifica TOTP /mfa/verification.
- L'attaccante è ora connesso all'account della vittima, che non riceve un messaggio SMS e quindi non si accorge di nulla
Il corso di un tale attacco è illustrato in questo video di YouTube.
I risultati dell'attacco
MFA è un passo importante verso un Internet più sicuro e un'autenticazione più affidabile per le applicazioni SaaS. Detto questo, l'autenticazione a più fattori può fornire un falso senso di sicurezza: solo perché l'autenticazione a più fattori è abilitata non significa necessariamente che un utente malintenzionato debba ottenere l'accesso fisico al dispositivo di una vittima per comprometterne l'account. Pertanto, l'autenticazione affidabile può essere solo un livello di sicurezza.
Di conseguenza, questa vulnerabilità illustra anche la necessità di un approccio incentrato sui dati. "Affidarsi esclusivamente alla protezione perimetrale e all'autenticazione forte è una grave negligenza", spiega Michael Scheffler, Country Manager DACH di Varonis Systems. "I responsabili della sicurezza dovrebbero porsi le seguenti domande per verificare l'efficacia della loro strategia di sicurezza e apportare modifiche ove necessario: posso sapere se MFA è stato disabilitato o ignorato per un utente in tutte le mie applicazioni SaaS? A quanti dati può accedere un utente malintenzionato se compromette un normale account utente? Gli utenti hanno accesso solo ai file di cui hanno effettivamente bisogno? E siamo in grado di rilevare quando un utente accede ai dati in modi insoliti?"
Altro su Varonis.com
A proposito di Varoni Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,