Gli aggressori sono stati in grado di aggirare l'autenticazione a più fattori di Box.com. Il team di ricerca di Varonis ha scoperto un modo per sostituire l'autenticazione a più fattori con la classica autenticazione a un fattore per gli account Box.
Box.com si unisce al lungo elenco di provider cloud in cui sono state recentemente scoperte vulnerabilità MFA: il team di ricerca di Varonis ha scoperto un modo per sostituire MFA con una classica autenticazione a un fattore per gli account Box, l'autenticazione -Utilizza app come Google Authenticator. Ciò ha consentito agli aggressori con credenziali rubate di compromettere l'account Box di un'organizzazione ed esfiltrare dati sensibili senza dover utilizzare una password monouso.
Vulnerabilità di Box.com ora chiusa
I ricercatori di sicurezza hanno segnalato questa vulnerabilità a Box il 3 novembre tramite HackerOne, che ne ha richiesto la chiusura. Tuttavia, questa lacuna di sicurezza rende chiaro che la sicurezza del cloud non dovrebbe mai essere data per scontata, anche quando si utilizzano tecnologie apparentemente sicure. I ricercatori di sicurezza di Varonis hanno scoperto altri due bypass MFA in applicazioni SaaS ampiamente utilizzate, che verranno rilasciati dopo essere stati corretti.
Come funziona l'AMF su Box?
Quando un utente aggiunge un'app di autenticazione al proprio account Box, all'app viene assegnato un ID fattore dietro le quinte. Ogni volta che l'utente tenta di accedere, Box richiede all'utente l'e-mail e la password, seguite da una password monouso dall'app di autenticazione.
Se l'utente non fornisce il secondo fattore, non sarà in grado di accedere ai file e alle cartelle nel proprio account Box. Ciò fornisce una seconda linea di difesa nel caso in cui un utente abbia una password debole (o trapelata).
Dov'è il punto debole?
Il team di Varonis ha rilevato che l'endpoint /mfa/unenrollment non richiede l'autenticazione utente completa per rimuovere un dispositivo TOTP da un account utente. Di conseguenza, è possibile escludere con successo un utente da MFA dopo aver fornito un nome utente e una password e prima di fornire il secondo fattore. Dopo questa disattivazione, è stato possibile accedere senza MFA e ottenere l'accesso completo all'account Box dell'utente, inclusi tutti i file e le cartelle. In questo modo, anche gli account Box protetti da MFA potrebbero essere compromessi tramite credential stuffing, forza bruta o credenziali di phishing. Il post sul blog di Varonis e il video disponibile mostrano l'esatto corso di un attacco.
Altro su Varonis.com
A proposito di Varoni Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,