ボックス: SMS を介した MFA も、攻撃者によってバイパスされる可能性があります

29. 2022。 Januar XNUMX 1月XNUMX
| コメントはありません
ボックス: SMS を介した MFA も、攻撃者によってバイパスされる可能性があります

投稿を共有する

Varonis のセキュリティ研究者は、Box アカウントの SMS を介して多要素認証 (MFA) をバイパスする方法を発見しました。 認証情報を盗んだ攻撃者は、被害者の電話にアクセスすることなく、組織の Box アカウントを侵害し、機密データを盗み出すことができました。

3 年 2021 月 XNUMX 日にセキュリティ研究者がこの脆弱性を HackerOne 経由で Box に報告したため、閉鎖されました。 先月、Varonis Thread Labs は、Box の TOTP ベースの MFA をバイパスする方法を示しました。 どちらのギャップも、明らかに安全なテクノロジーを使用している場合でも、クラウド セキュリティを当然のことと考えてはならず、多層的なセキュリティ戦略が必要であることを明確にしています。

被害者の電話のない SMS コード

ほとんどのアプリケーションと同様に、Box では、シングル サインオン (SSO) を使用していないユーザーが認証アプリ (Okta Verify や Google Authenticator など) を使用したり、認証の XNUMX 番目のステップとしてワンタイム セキュリティ コードを使用した SMS を使用したりできます。 ログイン フォームにユーザー名とパスワードを入力すると、Box はセッション Cookie を設定し、ユーザーが認証アプリにログインしている場合は一時的なワンタイム パスワード (TOTP) を入力するフォーム、または入力するフォームにユーザーを誘導します。ユーザーが SMS 経由でセキュリティ コードを受信することを選択した場合は、XNUMX つの SMS コード。

MFA メソッドの危険な混合

ユーザーが SMS 確認フォームに移動しない場合も、セッション Cookie が生成されます。 同様に、攻撃者は、有効なセッション Cookie を受け取るために、既にフィッシングまたはダーク Web で購入したユーザーの電子メール アドレスとパスワードを入力するだけで済みます。 Cookie が生成された後、攻撃者は (ユーザーがサインインしている) SMS ベースの MFA メカニズムをキャンセルし、代わりに TOTP ベースの MFA メカニズムを開始して、MFA モードを混在させることができます。

攻撃者は、自分の Box アカウントと認証アプリから TOTP 検証エンドポイントに要素 ID とコードを送信することで、認証プロセスを完了します。 その際、攻撃者は、被害者のログイン データを提供することで受け取ったセッション Cookie を使用します。 脆弱性にパッチが適用されるまで、Box は被害者が TOTP 検証のためにログインしていること、および使用された認証アプリが実際にログインしようとしている関連付けられたユーザーのものであることを確認しませんでした。 これにより、被害者の電話を使用したりテキスト メッセージを送信したりすることなく、ユーザーの Box アカウントにアクセスできるようになりました。

ボックスアタックの流れ

  • 多要素認証では、攻撃者は認証アプリでログインし、デバイスの要素 ID を保存します。
  • 攻撃者は、account.box.com/login で被害者の電子メール アドレスとパスワードを入力します。
  • パスワードが正しい場合、攻撃者のブラウザは新しい認証 Cookie を受け取り、/2fa/verification にリダイレクトされます。
  • ただし、SMS 検証フォームへのリダイレクトに従う代わりに、攻撃者は自分の要素 ID とコードを認証アプリから TOTP 検証エンドポイント /mfa/verification に投稿します。
  • 攻撃者は被害者のアカウントにログインしていますが、被害者は SMS メッセージを受信して​​いないため、何も気づきません。

そのような攻撃の経過 このYouTubeビデオで説明されています.

攻撃からの発見

MFA は、SaaS アプリケーションのより安全なインターネットと信頼性の高い認証に向けた重要なステップです。 とはいえ、MFA は誤った安心感を与える可能性があります。MFA が有効になっているからといって、攻撃者が被害者のデバイスに物理的にアクセスしてアカウントを侵害する必要があるとは限りません。 したがって、信頼できる認証は常に XNUMX レベルのセキュリティにすぎません。

したがって、この脆弱性は、データ中心のアプローチの必要性も示しています。 Varonis Systems の DACH カントリー マネージャーである Michael Scheffler 氏は、次のように述べています。 「セキュリティ リーダーは、セキュリティ戦略の有効性を確認し、必要に応じて調整を行うために、次の質問を自問する必要があります。すべての SaaS アプリケーションでユーザーに対して MFA が無効またはバイパスされているかどうかを確認できますか? 通常のユーザー アカウントが侵害された場合、攻撃者はどのくらいのデータにアクセスできますか? ユーザーは実際に必要なファイルにのみアクセスできますか? また、ユーザーが異常な方法でデータにアクセスしていることを検出できますか?」

詳細は Varonis.com をご覧ください

 

ヴァロニスについて

2005 年の創業以来、Varonis はオンプレミスとクラウドの両方に保存されている企業データをセキュリティ戦略の中心に置くことで、ほとんどの IT セキュリティ ベンダーとは異なるアプローチをとってきました。従業員記録、財務記録、戦略および製品計画、およびその他の知的財産。 Varonis Data Security Platform (DSP) は、データ、アカウント アクティビティ、テレメトリ、およびユーザーの行動を分析することで内部関係者の脅威とサイバー攻撃を検出し、機密データ、規制対象データ、および古いデータをロックダウンすることでデータ セキュリティ違反を防止または軽減し、システムの安全な状態を維持します。効率的な自動化を通じて、

 

トピックに関連する記事

5G環境を保護するサイバーセキュリティプラットフォーム

サイバーセキュリティの専門家であるトレンドマイクロが、組織の拡大し続ける攻撃対象領域を保護するためのプラットフォームベースのアプローチを発表しました。 ➡続きを読む

データ操作、過小評価されている危険性

毎年 31 月 XNUMX 日の世界バックアップの日は、最新の簡単にアクセスできるバックアップの重要性を思い出させるものです。 ➡続きを読む

セキュリティリスクとしてのプリンター

企業のプリンター群はますます盲点になりつつあり、その効率性とセキュリティーに関して大きな問題を引き起こしています。 ➡続きを読む

AI 法とそのデータ保護への影響

AI 法により、AI に関する最初の法律が承認され、AI アプリケーションのメーカーに 6 か月から 6 か月の猶予期間が与えられました。 ➡続きを読む

Windows オペレーティング システム: 約 200 万台のコンピュータが危険にさらされています

Windows 7 および 8 オペレーティング システムのアップデートはもうありません。これは、セキュリティ上のギャップが開いていることを意味するため、価値があり、 ➡続きを読む

エンタープライズ ストレージ上の AI がランサムウェアとリアルタイムで戦う

NetApp は、ランサムウェアと戦うために人工知能 (AI) と機械学習 (ML) をプライマリ ストレージに直接統合した最初の企業の 1 つです ➡続きを読む

ゼロトラスト データ セキュリティのための DSPM 製品スイート

データ セキュリティ体制管理 (略して DSPM) は、企業が多数のデータに対するサイバー回復力を確保するために不可欠です。 ➡続きを読む

データ暗号化: クラウド プラットフォームのセキュリティを強化

最近では Trello など、オンライン プラットフォームがサイバー攻撃の標的になることがよくあります。クラウドでより効果的なデータ暗号化を実現する 5 つのヒント ➡続きを読む

広報メッセージ
, , , , , ,