攻撃者は、Box.com の多要素認証を回避できました。 Varonis の研究チームは、MFA を Box アカウントの従来の XNUMX 要素認証に置き換える方法を発見しました。
Box.com は、MFA の脆弱性が最近発見されたクラウド プロバイダーの長いリストに加わりました。Varonis の研究チームは、MFA を Box アカウントの従来の XNUMX 要素認証である認証 - Google Authenticator などのアプリを使用する方法に置き換える方法を発見しました。 これにより、認証情報を盗んだ攻撃者は、組織の Box アカウントを侵害し、ワンタイム パスワードを使用せずに機密データを盗み出すことができました。
Box.com の脆弱性がクローズされました
セキュリティ研究者は 3 月 XNUMX 日にこの脆弱性を Box に HackerOne 経由で報告したため、Box は閉鎖されました。 それにもかかわらず、このセキュリティ ギャップは、一見安全なテクノロジを使用している場合でも、クラウド セキュリティを当然のことと考えてはならないことを明確にしています。 Varonis のセキュリティ研究者は、広く使用されている SaaS アプリケーションでさらに XNUMX つの MFA バイパスを発見しました。これらは修正後にリリースされる予定です。
MFA は Box でどのように機能しますか?
ユーザーが Box アカウントに認証アプリを追加すると、そのアプリにはバックグラウンドで要素 ID が割り当てられます。 ユーザーがログインを試みるたびに、Box はユーザーに電子メールとパスワードの入力を求め、続いて認証アプリからのワンタイム パスワードを入力します。
ユーザーが XNUMX 番目の要素を提供しない場合、Box アカウントのファイルとフォルダーにアクセスできません。 これにより、ユーザーのパスワードが弱い (または漏えいした) 場合に備えて、XNUMX 番目の防御線が提供されます。
弱点はどこですか?
Varonis チームは、/mfa/unenrollment エンドポイントが、ユーザー アカウントから TOTP デバイスを削除するために完全なユーザー認証を必要としないことを発見しました。 その結果、ユーザー名とパスワードを提供した後、XNUMX 番目の要素を提供する前に、MFA からユーザーを正常にオプトアウトできました。 この非アクティブ化の後、MFA なしでログインし、すべてのファイルとフォルダーを含むユーザーの Box アカウントに完全にアクセスできるようになりました。 このように、MFA で保護された Box アカウントでさえ、クレデンシャル スタッフィング、ブルート フォース、またはフィッシングのクレデンシャルによって侵害される可能性があります。 Varonis のブログ投稿とそこにあるビデオは、攻撃の正確な経路を示しています。
詳細は Varonis.com をご覧ください
ヴァロニスについて 2005 年の創業以来、Varonis はオンプレミスとクラウドの両方に保存されている企業データをセキュリティ戦略の中心に置くことで、ほとんどの IT セキュリティ ベンダーとは異なるアプローチをとってきました。従業員記録、財務記録、戦略および製品計画、およびその他の知的財産。 Varonis Data Security Platform (DSP) は、データ、アカウント アクティビティ、テレメトリ、およびユーザーの行動を分析することで内部関係者の脅威とサイバー攻撃を検出し、機密データ、規制対象データ、および古いデータをロックダウンすることでデータ セキュリティ違反を防止または軽減し、システムの安全な状態を維持します。効率的な自動化を通じて、