Дослідники безпеки Varonis знайшли спосіб обійти багатофакторну автентифікацію (MFA) за допомогою SMS для облікових записів Box. Зловмисники з викраденими обліковими даними змогли скомпрометувати обліковий запис Box організації та викрасти конфіденційні дані без доступу до телефону жертви.
Дослідники безпеки повідомили про цю вразливість Box через HackerOne 3 листопада 2021 року, що спонукало її закрити. Лише минулого місяця Varonis Thread Labs продемонструвала, як обійти MFA на основі TOTP Box. Обидва прогалини чітко показують, що хмарна безпека ніколи не повинна сприйматися як належне, навіть якщо використовуються на перший погляд безпечні технології, і що потрібна багаторівнева стратегія безпеки.
СМС код без телефону жертви
Як і більшість програм, Box дозволяє користувачам без системи єдиного входу (SSO) використовувати програму автентифікації (наприклад, Okta Verify або Google Authenticator) або SMS з одноразовим кодом безпеки як другий крок автентифікації. Після введення імені користувача та пароля у формі входу Box встановлює файл cookie сеансу та спрямовує користувача або до форми для введення тимчасового одноразового пароля (TOTP), якщо користувач увійшов у програму автентифікації, або до форми для введення один SMS-код, якщо користувач погодився на отримання коду безпеки через SMS.
Небезпечне змішування методів MFA
Сеансовий файл cookie також генерується, якщо користувач не переходить до форми підтвердження SMS. Подібним чином зловмисникам потрібно лише ввести адресу електронної пошти та пароль користувача, які вони вже піддали або придбали в темній мережі, щоб отримати дійсний сеансовий файл cookie. Після створення файлу cookie зловмисники можуть скасувати механізм MFA на основі SMS (де користувач увійшов) і натомість ініціювати механізм MFA на основі TOTP, змішуючи таким чином режими MFA.
Зловмисники завершують процес автентифікації, надсилаючи ідентифікатор фактора та код із власного облікового запису Box і програми автентифікації до кінцевої точки перевірки TOTP. При цьому вони використовують сеансовий файл cookie, який вони отримали, надавши дані для входу жертви. Поки вразливість не було виправлено, Box не перевірив, чи жертва ввійшла в систему для перевірки TOTP і що використовувана програма автентифікації справді належала пов’язаному користувачеві, який намагався увійти. Це дозволяло отримати доступ до облікового запису користувача Box без необхідності використовувати телефон жертви або відправляти їй текстові повідомлення.
Потік атаки Box
- У багатофакторній автентифікації зловмисник входить у систему за допомогою програми автентифікації та зберігає ідентифікатор фактора пристрою.
- Зловмисник вводить адресу електронної пошти та пароль жертви на account.box.com/login.
- Якщо пароль правильний, браузер зловмисника отримує новий файл cookie для автентифікації та перенаправляється до /2fa/verification.
- Однак замість переходу до форми перевірки SMS-повідомлення зловмисник публікує власний ідентифікатор фактора та код із програми автентифікації до кінцевої точки перевірки TOTP /mfa/verification.
- Тепер зловмисник увійшов в обліковий запис жертви, яка не отримує SMS-повідомлення і тому нічого не помічає
Перебіг такого нападу показано в цьому відео YouTube.
Висновки з нападу
MFA — це важливий крок до безпечнішого Інтернету та надійнішої автентифікації для програм SaaS. Тим не менш, MFA може створювати помилкове відчуття безпеки: те, що MFA увімкнено, не обов’язково означає, що зловмиснику потрібно отримати фізичний доступ до пристрою жертви, щоб скомпрометувати її обліковий запис. Тому надійна автентифікація може бути лише одним із рівнів безпеки.
Відповідно, ця вразливість також ілюструє потребу в підході, орієнтованому на дані. «Покладатися виключно на захист периметра та надійну автентифікацію — це вкрай недбало», — пояснює Майкл Шеффлер, регіональний менеджер DACH у Varonis Systems. «Керівники служби безпеки повинні поставити собі наступні запитання, щоб перевірити ефективність своєї стратегії безпеки та внести корективи, якщо це необхідно: Чи можу я визначити, чи було MFA вимкнено або пропущено для користувача в усіх моїх програмах SaaS? До якого обсягу даних може отримати доступ зловмисник, якщо він зламав обліковий запис звичайного користувача? Чи отримують користувачі доступ лише до тих файлів, які їм дійсно потрібні? І чи можемо ми виявити, коли користувач отримує доступ до даних незвичними способами?»
Більше на Varonis.com
Про Вароніс З моменту свого заснування в 2005 році компанія Varonis застосувала інший підхід до більшості постачальників ІТ-безпеки, помістивши корпоративні дані, що зберігаються як локально, так і в хмарі, в центрі своєї стратегії безпеки: конфіденційні файли та електронні листи, конфіденційну інформацію про клієнтів, пацієнтів і пацієнтів. Записи співробітників, фінансові записи, стратегічні плани та плани продукту та інша інтелектуальна власність. Платформа безпеки даних Varonis (DSP) виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису, телеметрію та поведінку користувачів, запобігає або пом’якшує порушення безпеки даних шляхом блокування конфіденційних, регламентованих і застарілих даних, а також підтримує безпечний стан систем завдяки ефективній автоматизації.,