Kutu: SMS yoluyla MFA da saldırganlar tarafından atlanabilir

29. Ocak 2022
| Yorum yok
Kutu: SMS yoluyla MFA da saldırganlar tarafından atlanabilir

Gönderiyi paylaş

Varonis güvenlik araştırmacıları, Box hesapları için SMS yoluyla çok faktörlü kimlik doğrulamayı (MFA) atlamanın bir yolunu keşfettiler. Kimlik bilgilerini çalan saldırganlar, bir kuruluşun Box hesabını tehlikeye atmayı ve kurbanın telefonuna erişmeye gerek kalmadan hassas verileri çalmayı başardı.

Güvenlik araştırmacıları, bu güvenlik açığını 3 Kasım 2021'de HackerOne aracılığıyla Box'a bildirdi ve bu da kapatılmasına neden oldu. Daha geçen ay Varonis Thread Labs, Box'ın TOTP tabanlı MFA'sının nasıl atlanacağını gösterdi. Her iki boşluk da, görünürde güvenli teknolojiler kullanılırken bile bulut güvenliğinin asla hafife alınmaması gerektiğini ve çok katmanlı bir güvenlik stratejisinin gerekli olduğunu açıkça ortaya koyuyor.

Kurbanın telefonu olmadan SMS kodu

Çoğu uygulamada olduğu gibi Box, çoklu oturum açma (SSO) olmayan kullanıcıların kimlik doğrulamanın ikinci adımı olarak bir kimlik doğrulama uygulaması (Okta Verify veya Google Authenticator gibi) veya tek seferlik güvenlik kodu içeren bir SMS kullanmasına izin verir. Oturum açma formuna bir kullanıcı adı ve parola girdikten sonra, Box bir oturum çerezi ayarlar ve kullanıcıyı bir kimlik doğrulayıcı uygulamasında oturum açtıysa geçici tek seferlik parola (TOTP) girmesi için bir forma veya girmek için bir forma yönlendirir. kullanıcı SMS yoluyla bir güvenlik kodu almayı seçtiyse, bir SMS kodu.

MFA yöntemlerinin tehlikeli şekilde karıştırılması

Kullanıcı SMS doğrulama formuna gitmezse bir oturum çerezi de oluşturulur. Benzer şekilde, saldırganların geçerli bir oturum tanımlama bilgisi almak için yalnızca kullanıcının e-posta adresini ve daha önce karanlık ağda kimlik avı yaptıkları veya satın aldıkları parolayı girmeleri yeterlidir. Tanımlama bilgisi oluşturulduktan sonra, saldırganlar SMS tabanlı MFA mekanizmasını (kullanıcının oturum açtığı yer) iptal edebilir ve bunun yerine TOTP tabanlı MFA mekanizmasını başlatarak MFA modlarını karıştırabilir.

Saldırganlar, kendi Box hesaplarından ve kimlik doğrulayıcı uygulamasından TOTP doğrulama uç noktasına bir faktör kimliği ve kodu göndererek kimlik doğrulama sürecini tamamlar. Bunu yaparken, kurbanın oturum açma verilerini sağlayarak aldıkları oturum çerezini kullanırlar. Güvenlik açığı kapatılana kadar Box, kurbanın TOTP doğrulaması için oturum açtığını ve kullanılan kimlik doğrulama uygulamasının aslında oturum açmaya çalışan ilgili kullanıcıya ait olduğunu doğrulamadı. Bu, kullanıcının Box hesabına kurbanın telefonunu kullanmak veya ona mesaj göndermek zorunda kalmadan erişmeyi mümkün kıldı.

Kutu Saldırısının Akışı

  • Çok faktörlü kimlik doğrulamada, saldırgan bir kimlik doğrulama uygulamasıyla oturum açar ve cihazın faktör kimliğini kaydeder.
  • Saldırgan, account.box.com/login adresinde kurbanın e-posta adresini ve parolasını girer.
  • Parola doğruysa, saldırganın tarayıcısı yeni bir kimlik doğrulama tanımlama bilgisi alır ve /2fa/verification konumuna yönlendirilir.
  • Ancak, SMS doğrulama formuna yönlendirmeyi takip etmek yerine, saldırgan kendi faktör kimliğini ve kimlik doğrulama uygulamasından aldığı kodu TOTP doğrulama uç noktası /mfa/verification'a gönderir.
  • Saldırgan artık SMS mesajı almayan ve dolayısıyla hiçbir şey fark etmeyen kurbanın hesabında oturum açmıştır.

Böyle bir saldırının seyri bu YouTube videosunda gösterilmektedir.

Saldırıdan elde edilen bulgular

MFA, SaaS uygulamaları için daha güvenli bir internet ve daha güvenilir kimlik doğrulamaya yönelik önemli bir adımdır. Bununla birlikte, MFA yanlış bir güvenlik duygusu sağlayabilir: MFA'nın etkin olması, bir saldırganın kurbanın hesabını ele geçirmek için cihazına fiziksel olarak erişmesi gerektiği anlamına gelmez. Bu nedenle, güvenilir kimlik doğrulama yalnızca bir güvenlik düzeyi olabilir.

Buna göre, bu güvenlik açığı veri merkezli bir yaklaşıma olan ihtiyacı da göstermektedir. Varonis Systems DACH Ülke Müdürü Michael Scheffler, "Yalnızca çevre korumasına ve güçlü kimlik doğrulamaya güvenmek büyük ölçüde ihmalkarlıktır" diye açıklıyor. "Güvenlik liderleri, güvenlik stratejilerinin etkinliğini gözden geçirmek ve gerektiğinde ayarlamalar yapmak için kendilerine aşağıdaki soruları sormalıdır: MFA'nın tüm SaaS uygulamalarımda bir kullanıcı için devre dışı bırakıldığını veya atlandığını anlayabilir miyim? Normal bir kullanıcı hesabını tehlikeye atan bir saldırgan ne kadar veriye erişebilir? Kullanıcılar yalnızca gerçekten ihtiyaç duydukları dosyalara mı erişebilir? Ve bir kullanıcının verilere alışılmadık şekillerde eriştiğini tespit edebiliyor muyuz?"

Daha fazlası Varonis.com'da

 

Varonis Hakkında

2005 yılında kuruluşundan bu yana Varonis, hem şirket içinde hem de bulutta depolanan kurumsal verileri güvenlik stratejisinin merkezine yerleştirerek çoğu BT güvenlik satıcısına farklı bir yaklaşım benimsemiştir: hassas dosyalar ve e-postalar, gizli müşteri, hasta ve hasta bilgileri Çalışan kayıtları, mali kayıtlar, stratejik ve ürün planları ve diğer fikri mülkiyet. Varonis Veri Güvenliği Platformu (DSP), verileri, hesap etkinliğini, telemetriyi ve kullanıcı davranışını analiz ederek içeriden gelen tehditleri ve siber saldırıları tespit eder, hassas, düzenlenmiş ve eskimiş verileri kilitleyerek veri güvenliği ihlallerini önler veya hafifletir ve sistemlerin güvenli durumunu korur verimli otomasyon yoluyla.,

 

Konuyla ilgili makaleler

5G ortamları için koruma sağlayan siber güvenlik platformu

Siber güvenlik uzmanı Trend Micro, kuruluşların sürekli genişleyen saldırı yüzeyini korumaya yönelik platform tabanlı yaklaşımını açıklıyor. ➡ Devamını oku

Veri manipülasyonu, hafife alınan tehlike

Her yıl 31 Mart Dünya Yedekleme Günü, güncel ve kolay erişilebilir yedeklemelerin öneminin bir hatırlatıcısıdır ➡ Devamını oku

Güvenlik riski olarak yazıcılar

Kurumsal yazıcı filoları giderek kör nokta haline geliyor ve verimlilikleri ve güvenlikleri açısından çok büyük sorunlar yaratıyor. ➡ Devamını oku

Yapay Zeka Yasası ve veri korumasına ilişkin sonuçları

Yapay Zeka Yasası ile yapay zekaya yönelik ilk yasa onaylandı ve yapay zeka uygulamaları üreticilerine altı ay ila ➡ Devamını oku

Windows işletim sistemleri: Neredeyse iki milyon bilgisayar risk altında

Windows 7 ve 8 işletim sistemleri için artık herhangi bir güncelleme bulunmamaktadır. Bu, açık güvenlik boşlukları anlamına gelir ve bu nedenle değerli ve ➡ Devamını oku

Kurumsal Depolamadaki yapay zeka, fidye yazılımlarıyla gerçek zamanlı olarak savaşır

NetApp, fidye yazılımlarıyla mücadele etmek için yapay zekayı (AI) ve makine öğrenimini (ML) doğrudan birincil depolamaya entegre eden ilk şirketlerden biridir ➡ Devamını oku

Sıfır Güven Veri Güvenliği için DSPM ürün paketi

Veri Güvenliği Duruş Yönetimi - kısaca DSPM - şirketlerin çokluğa karşı siber dayanıklılık sağlamaları açısından çok önemlidir ➡ Devamını oku

Veri şifreleme: Bulut platformlarında daha fazla güvenlik

Son zamanlarda Trello gibi çevrimiçi platformlar sıklıkla siber saldırıların hedefi oluyor. Bulutta daha etkili veri şifrelemeyi sağlayan 5 ipucu ➡ Devamını oku

Halkla İlişkiler Mesajları
, , , , , ,