Зловмисникам вдалося обійти багатофакторну аутентифікацію Box.com. Дослідницька група Varonis знайшла спосіб замінити MFA класичною однофакторною автентифікацією для облікових записів Box.
Box.com приєднується до довгого списку хмарних провайдерів, у яких нещодавно були виявлені вразливості MFA: дослідницька група Varonis знайшла спосіб замінити MFA класичною однофакторною автентифікацією для облікових записів Box, автентифікація - Використовуйте програми, такі як Google Authenticator. Це дозволило зловмисникам з викраденими обліковими даними скомпрометувати обліковий запис Box організації та отримати конфіденційні дані без використання одноразового пароля.
Уразливість Box.com закрита
Дослідники безпеки повідомили про цю вразливість Box 3 листопада через HackerOne, що спонукало її закрити. Тим не менш, ця прогалина в безпеці дає зрозуміти, що хмарна безпека ніколи не повинна сприйматися як належне, навіть якщо використовуються, здавалося б, безпечні технології. Дослідники безпеки Varonis виявили ще два обходу MFA у широко використовуваних програмах SaaS, які будуть випущені після їх усунення.
Як MFA працює на Box?
Коли користувач додає програму автентифікації до свого облікового запису Box, програмі негласно призначається ідентифікатор фактора. Кожного разу, коли користувач намагається увійти, Box запитує його адресу електронної пошти та пароль, а потім одноразовий пароль із програми автентифікації.
Якщо користувач не забезпечить другий фактор, він не зможе отримати доступ до файлів і папок у своєму обліковому записі Box. Це забезпечує другу лінію захисту, якщо користувач має слабкий (або витік) пароль.
Де слабке місце?
Команда Varonis виявила, що кінцева точка /mfa/unenrollment не вимагає повної автентифікації користувача для видалення пристрою TOTP з облікового запису користувача. У результаті можна було б успішно відмовитися від користувача з MFA після надання імені користувача та пароля та до надання другого фактора. Після цієї деактивації можна було увійти без MFA та отримати повний доступ до облікового запису користувача Box, включаючи всі файли та папки. Таким чином, навіть облікові записи Box, захищені MFA, можуть бути скомпрометовані через введення облікових даних, грубу силу або фішингові облікові дані. Повідомлення в блозі Varonis і доступне там відео показують точний хід атаки.
Більше на Varonis.com
Про Вароніс З моменту свого заснування в 2005 році компанія Varonis застосувала інший підхід до більшості постачальників ІТ-безпеки, помістивши корпоративні дані, що зберігаються як локально, так і в хмарі, в центрі своєї стратегії безпеки: конфіденційні файли та електронні листи, конфіденційну інформацію про клієнтів, пацієнтів і пацієнтів. Записи співробітників, фінансові записи, стратегічні плани та плани продукту та інша інтелектуальна власність. Платформа безпеки даних Varonis (DSP) виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису, телеметрію та поведінку користувачів, запобігає або пом’якшує порушення безпеки даних шляхом блокування конфіденційних, регламентованих і застарілих даних, а також підтримує безпечний стан систем завдяки ефективній автоматизації.,