Caixa: MFA via SMS também pode ser contornado por invasores

29. Janeiro 2022
| Sem comentários
Caixa: MFA via SMS também pode ser contornado por invasores

Compartilhar postagem

Os pesquisadores de segurança da Varonis descobriram uma maneira de contornar a autenticação multifator (MFA) via SMS para contas Box. Os invasores com credenciais roubadas conseguiram comprometer a conta Box de uma organização e exfiltrar dados confidenciais sem precisar acessar o telefone da vítima.

Pesquisadores de segurança relataram essa vulnerabilidade ao Box via HackerOne em 3 de novembro de 2021, o que o levou a ser fechado. No mês passado, o Varonis Thread Labs demonstrou como contornar o MFA baseado em TOTP da Box. Ambas as lacunas deixam claro que a segurança na nuvem nunca deve ser considerada garantida, mesmo ao usar tecnologias aparentemente seguras, e que é necessária uma estratégia de segurança em várias camadas.

Código SMS sem telefone da vítima

Como a maioria dos aplicativos, o Box permite que usuários sem logon único (SSO) usem um aplicativo autenticador (como Okta Verify ou Google Authenticator) ou um SMS com um código de segurança único como a segunda etapa da autenticação. Depois de inserir um nome de usuário e senha no formulário de login, o Box define um cookie de sessão e direciona o usuário para um formulário para inserir uma senha temporária de uso único (TOTP) se o usuário estiver conectado a um aplicativo autenticador ou um formulário para inserir um códigos SMS se o usuário tiver optado por receber um código de segurança via SMS.

Mistura perigosa de métodos MFA

Um cookie de sessão também é gerado se o usuário não navegar para o formulário de verificação por SMS. Da mesma forma, os invasores precisam apenas inserir o endereço de e-mail e a senha do usuário, que eles já roubaram ou compraram na dark web, para receber um cookie de sessão válido. Depois que o cookie é gerado, os invasores podem cancelar o mecanismo MFA baseado em SMS (onde o usuário está conectado) e, em vez disso, iniciar o mecanismo MFA baseado em TOTP, misturando assim os modos MFA.

Os invasores concluem o processo de autenticação enviando um ID de fator e código de sua própria conta Box e aplicativo autenticador para o terminal de verificação TOTP. Ao fazer isso, eles usam o cookie de sessão que receberam ao fornecer os dados de login da vítima. Até que a vulnerabilidade fosse corrigida, a Box não verificava se a vítima estava logada para verificação TOTP e se o aplicativo autenticador usado realmente pertencia ao usuário associado que tentava fazer login. Isso possibilitou o acesso à conta da Caixa do usuário sem a necessidade de usar o telefone da vítima ou enviar mensagens de texto.

Fluxo do Ataque de Caixa

  • Na autenticação multifator, o invasor faz login com um aplicativo autenticador e salva o ID do fator do dispositivo.
  • O invasor insere o endereço de e-mail e a senha da vítima em account.box.com/login.
  • Se a senha estiver correta, o navegador do invasor recebe um novo cookie de autenticação e é redirecionado para /2fa/verification.
  • No entanto, em vez de seguir o redirecionamento para o formulário de verificação por SMS, o invasor publica seu próprio ID de fator e código do aplicativo autenticador para o terminal de verificação TOTP /mfa/verification.
  • O invasor agora está conectado à conta da vítima, que não recebe uma mensagem SMS e, portanto, não percebe nada

O curso de tal ataque é ilustrado neste vídeo do YouTube.

Descobertas do ataque

A MFA é um passo importante para uma internet mais segura e uma autenticação mais confiável para aplicativos SaaS. Dito isso, o MFA pode fornecer uma falsa sensação de segurança: só porque o MFA está ativado não significa necessariamente que um invasor precise obter acesso físico ao dispositivo da vítima para comprometer sua conta. Portanto, a autenticação confiável só pode ser um nível de segurança.

Assim, essa vulnerabilidade também ilustra a necessidade de uma abordagem centrada em dados. "Confiar apenas na proteção do perímetro e na autenticação forte é totalmente negligente", explica Michael Scheffler, Country Manager DACH da Varonis Systems. “Os líderes de segurança devem se fazer as seguintes perguntas para revisar a eficácia de sua estratégia de segurança e fazer os ajustes necessários: Posso saber se o MFA foi desabilitado ou ignorado para um usuário em todos os meus aplicativos SaaS? Quantos dados um invasor pode acessar se comprometer uma conta de usuário comum? Os usuários só têm acesso aos arquivos de que realmente precisam? E somos capazes de detectar quando um usuário está acessando dados de maneiras incomuns?”

Mais em Varonis.com

 

Sobre Varonis

Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

mensagens de relações públicas
, , , , , ,