Saldırganlar, Box.com'un çok faktörlü kimlik doğrulamasını atlamayı başardı. Varonis araştırma ekibi, Box hesapları için MFA'yı klasik tek faktörlü kimlik doğrulamayla değiştirmenin bir yolunu keşfetti.
Box.com, MFA güvenlik açıklarının yakın zamanda keşfedildiği uzun bulut sağlayıcıları listesine katılıyor: Varonis araştırma ekibi, MFA'yı Box hesapları için klasik bir tek faktörlü kimlik doğrulamayla değiştirmenin bir yolunu keşfetti; kimlik doğrulama - Google Authenticator gibi uygulamaları kullanın. Bu, çalınan kimlik bilgilerine sahip saldırganların bir kuruluşun Box hesabını tehlikeye atmasına ve tek seferlik bir parola kullanmak zorunda kalmadan hassas verileri sızdırmasına izin verdi.
Box.com güvenlik açığı artık kapatıldı
Güvenlik araştırmacıları, bu güvenlik açığını 3 Kasım'da HackerOne aracılığıyla Box'a bildirdi ve bu da kapatılmasına neden oldu. Bununla birlikte, bu güvenlik açığı, görünüşte güvenli teknolojiler kullanılırken bile bulut güvenliğinin asla hafife alınmaması gerektiğini açıkça ortaya koymaktadır. Varonis güvenlik araştırmacıları, yaygın olarak kullanılan SaaS uygulamalarında, düzeltildikten sonra piyasaya sürülecek olan iki MFA bypass'ı daha keşfettiler.
MFA, Box'ta nasıl çalışır?
Bir kullanıcı, Box hesabına bir kimlik doğrulama uygulaması eklediğinde, uygulamaya arka planda bir faktör kimliği atanır. Kullanıcı her oturum açmaya çalıştığında, Box kullanıcıdan e-postasını ve parolasını ve ardından kimlik doğrulayıcı uygulamasından bir defalık parolasını ister.
Kullanıcı ikinci faktörü sağlamazsa Box hesabındaki dosya ve klasörlere erişemez. Bu, bir kullanıcının parolasının zayıf (veya sızdırılmış) olması durumunda ikinci bir savunma hattı sağlar.
Zayıf nokta nerede?
Varonis ekibi /mfa/unenrollment uç noktasının, bir TOTP cihazını bir kullanıcı hesabından kaldırmak için tam kullanıcı kimlik doğrulaması gerektirmediğini tespit etti. Sonuç olarak, bir kullanıcı adı ve parola girdikten sonra ve ikinci faktörü sağlamadan önce bir kullanıcı MFA'dan başarılı bir şekilde vazgeçebilir. Bu devre dışı bırakma işleminden sonra, MFA olmadan oturum açmak ve tüm dosya ve klasörler dahil olmak üzere kullanıcının Box hesabına tam erişim elde etmek mümkün oldu. Bu şekilde, MFA ile korunan Box hesapları bile kimlik bilgisi doldurma, kaba kuvvet veya kimlik avı kimlik bilgileri yoluyla ele geçirilebilir. Varonis blog gönderisi ve orada bulunan video, bir saldırının tam gidişatını gösteriyor.
Daha fazlası Varonis.com'da
Varonis Hakkında 2005 yılında kuruluşundan bu yana Varonis, hem şirket içinde hem de bulutta depolanan kurumsal verileri güvenlik stratejisinin merkezine yerleştirerek çoğu BT güvenlik satıcısına farklı bir yaklaşım benimsemiştir: hassas dosyalar ve e-postalar, gizli müşteri, hasta ve hasta bilgileri Çalışan kayıtları, mali kayıtlar, stratejik ve ürün planları ve diğer fikri mülkiyet. Varonis Veri Güvenliği Platformu (DSP), verileri, hesap etkinliğini, telemetriyi ve kullanıcı davranışını analiz ederek içeriden gelen tehditleri ve siber saldırıları tespit eder, hassas, düzenlenmiş ve eskimiş verileri kilitleyerek veri güvenliği ihlallerini önler veya hafifletir ve sistemlerin güvenli durumunu korur verimli otomasyon yoluyla.,