Box: anche l'autenticazione a più fattori tramite SMS potrebbe essere aggirata dagli aggressori

29. Gennaio 2022
| Non ci sono commenti
Box: anche l'autenticazione a più fattori tramite SMS potrebbe essere aggirata dagli aggressori

Condividi post

I ricercatori di sicurezza di Varonis hanno scoperto un modo per aggirare l'autenticazione a più fattori (MFA) tramite SMS per gli account Box. Gli aggressori con credenziali rubate sono stati in grado di compromettere l'account Box di un'organizzazione ed esfiltrare dati sensibili senza dover accedere al telefono della vittima.

I ricercatori di sicurezza hanno segnalato questa vulnerabilità a Box tramite HackerOne il 3 novembre 2021, che ne ha provocato la chiusura. Proprio il mese scorso, Varonis Thread Labs ha dimostrato come aggirare l'MFA basato su TOTP di Box. Entrambe le lacune chiariscono che la sicurezza del cloud non dovrebbe mai essere data per scontata, anche quando si utilizzano tecnologie apparentemente sicure, e che è necessaria una strategia di sicurezza a più livelli.

Codice SMS senza telefono della vittima

Come la maggior parte delle applicazioni, Box consente agli utenti senza Single Sign-On (SSO) di utilizzare un'app di autenticazione (come Okta Verify o Google Authenticator) o un SMS con un codice di sicurezza monouso come secondo passaggio dell'autenticazione. Dopo aver inserito un nome utente e una password nel modulo di accesso, Box imposta un cookie di sessione e indirizza l'utente a un modulo per inserire una password monouso temporanea (TOTP) se l'utente ha effettuato l'accesso a un'app di autenticazione o a un modulo per accedere one codici SMS se l'utente ha scelto di ricevere un codice di sicurezza tramite SMS.

Miscelazione pericolosa di metodi MFA

Un cookie di sessione viene generato anche se l'utente non accede al modulo di verifica SMS. Allo stesso modo, gli aggressori devono solo inserire l'indirizzo e-mail e la password dell'utente, che hanno già phishing o acquistato sul dark web, per ricevere un cookie di sessione valido. Dopo la generazione del cookie, gli aggressori possono annullare il meccanismo MFA basato su SMS (dove l'utente ha effettuato l'accesso) e avviare invece il meccanismo MFA basato su TOTP, mescolando così le modalità MFA.

Gli aggressori completano il processo di autenticazione inviando un ID fattore e un codice dal proprio account Box e dall'app di autenticazione all'endpoint di verifica TOTP. In tal modo, utilizzano il cookie di sessione che hanno ricevuto fornendo i dati di accesso della vittima. Fino a quando la vulnerabilità non è stata corretta, Box non ha verificato che la vittima avesse effettuato l'accesso per la verifica TOTP e che l'app di autenticazione utilizzata appartenesse effettivamente all'utente associato che tentava di accedere. Ciò ha permesso di accedere all'account Box dell'utente senza dover utilizzare il telefono della vittima o inviare messaggi di testo.

Flusso del Box Attack

  • Nell'autenticazione a più fattori, l'attaccante accede con un'app di autenticazione e salva l'ID fattore del dispositivo.
  • L'aggressore inserisce l'indirizzo e-mail e la password della vittima su account.box.com/login.
  • Se la password è corretta, il browser dell'aggressore riceve un nuovo cookie di autenticazione e viene reindirizzato a /2fa/verifica.
  • Tuttavia, invece di seguire il reindirizzamento al modulo di verifica SMS, l'attaccante invia il proprio ID fattore e codice dall'app di autenticazione all'endpoint di verifica TOTP /mfa/verification.
  • L'attaccante è ora connesso all'account della vittima, che non riceve un messaggio SMS e quindi non si accorge di nulla

Il corso di un tale attacco è illustrato in questo video di YouTube.

I risultati dell'attacco

MFA è un passo importante verso un Internet più sicuro e un'autenticazione più affidabile per le applicazioni SaaS. Detto questo, l'autenticazione a più fattori può fornire un falso senso di sicurezza: solo perché l'autenticazione a più fattori è abilitata non significa necessariamente che un utente malintenzionato debba ottenere l'accesso fisico al dispositivo di una vittima per comprometterne l'account. Pertanto, l'autenticazione affidabile può essere solo un livello di sicurezza.

Di conseguenza, questa vulnerabilità illustra anche la necessità di un approccio incentrato sui dati. "Affidarsi esclusivamente alla protezione perimetrale e all'autenticazione forte è una grave negligenza", spiega Michael Scheffler, Country Manager DACH di Varonis Systems. "I responsabili della sicurezza dovrebbero porsi le seguenti domande per verificare l'efficacia della loro strategia di sicurezza e apportare modifiche ove necessario: posso sapere se MFA è stato disabilitato o ignorato per un utente in tutte le mie applicazioni SaaS? A quanti dati può accedere un utente malintenzionato se compromette un normale account utente? Gli utenti hanno accesso solo ai file di cui hanno effettivamente bisogno? E siamo in grado di rilevare quando un utente accede ai dati in modi insoliti?"

Altro su Varonis.com

 

A proposito di Varoni

Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR
, , , , , ,