Os invasores conseguiram contornar a autenticação multifator do Box.com. A equipe de pesquisa da Varonis descobriu uma maneira de substituir o MFA pela autenticação clássica de um fator para contas Box.
Box.com junta-se à longa lista de provedores de nuvem onde as vulnerabilidades de MFA foram descobertas recentemente: A equipe de pesquisa Varonis descobriu uma maneira de substituir o MFA por uma autenticação clássica de um fator para contas Box, a autenticação -Use aplicativos como o Google Authenticator. Isso permitiu que invasores com credenciais roubadas comprometessem a conta Box de uma organização e exfiltrassem dados confidenciais sem precisar usar uma senha única.
Vulnerabilidade do Box.com agora fechada
Pesquisadores de segurança relataram essa vulnerabilidade ao Box em 3 de novembro via HackerOne, o que o levou a ser fechado. No entanto, essa lacuna de segurança deixa claro que a segurança da nuvem nunca deve ser considerada garantida, mesmo ao usar tecnologias aparentemente seguras. Os pesquisadores de segurança da Varonis descobriram mais dois desvios de MFA em aplicativos SaaS amplamente usados, que serão lançados depois que forem corrigidos.
Como funciona o MFA no Box?
Quando um usuário adiciona um aplicativo autenticador à sua conta Box, o aplicativo recebe um ID de fator nos bastidores. Cada vez que o usuário tenta fazer login, o Box solicita ao usuário seu e-mail e senha, seguidos por uma senha única de seu aplicativo autenticador.
Se o usuário não fornecer o segundo fator, ele não poderá acessar os arquivos e pastas em sua conta do Box. Isso fornece uma segunda linha de defesa caso um usuário tenha uma senha fraca (ou vazada).
Onde está o ponto fraco?
A equipe Varonis descobriu que o endpoint /mfa/unenrollment não requer autenticação completa do usuário para remover um dispositivo TOTP de uma conta de usuário. Como resultado, pode-se cancelar com sucesso um usuário da MFA após fornecer um nome de usuário e senha e antes de fornecer o segundo fator. Após essa desativação, era possível fazer login sem MFA e ter acesso total à conta do usuário no Box incluindo todos os arquivos e pastas. Dessa forma, até mesmo as contas Box protegidas por MFA podem ser comprometidas por meio de preenchimento de credenciais, força bruta ou credenciais de phishing. A postagem no blog Varonis e o vídeo disponível lá mostram o curso exato de um ataque.
Mais em Varonis.com
Sobre Varonis Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,