Een kwetsbaarheid in Box's implementatie van multi-factor authenticatie (MFA) stelde aanvallers in staat de accounts van het slachtoffer over te nemen zonder toegang te hebben tot de telefoon van het slachtoffer, blijkt uit nieuw onderzoek van Varonis.
Vanwege de kwetsbaarheid – die in november 2021 werd verholpen – had een aanvaller alleen gestolen inloggegevens nodig om toegang te krijgen tot het Box-account van een organisatie en gevoelige gegevens te stelen, op voorwaarde dat op het account SMS-gebaseerde MFA is ingeschakeld (wat al lang bewezen onzeker).
Box, dat beweert dat bijna 100,000 bedrijven zijn platform gebruiken, stelt gebruikers zonder Single Sign-On (SSO) in staat hun accounts verder te beveiligen met een authenticatietoepassing of met behulp van sms voor tweedefactorauthenticatie.
[ LEES: 6 manieren waarop aanvallers sms-authenticatie met twee factoren nog steeds omzeilen ]
Wanneer een gebruiker probeert in te loggen op een Box-account, stelt het platform een sessiecookie in en stuurt de gebruiker vervolgens door naar een formulier waar hij een op tijd gebaseerd eenmalig wachtwoord (TOTP) moet opgeven via een authenticator-app (op /mfa /verification) of een sms-code (op /2fa/verification).
Wanneer de gebruiker een authenticator-app toevoegt, wijst Box een factor-ID toe en bij het inloggen moet hij, naast zijn inloggegevens, een eenmalig wachtwoord opgeven dat door de app wordt gegenereerd.
Varonis-onderzoekers ontdekt dat een aanvaller MFA kan omzeilen voor accounts waarbij op SMS gebaseerde MFA is ingeschakeld door het op SMS gebaseerde verificatieproces te verlaten en in plaats daarvan op TOTP gebaseerde MFA te initiëren.
Door de MFA-modi te combineren, kon de aanvaller toegang krijgen tot het account van het slachtoffer met de juiste gebruikersnaam en wachtwoord, maar vervolgens een factor-ID en code opgeven van een Box-account en een authenticator-app die de aanvaller beheert.
[ LEES: Waarom negeren gebruikers multi-factor authenticatie? ]
Het probleem was dat Box niet controleerde of de gebruiker inderdaad was ingeschreven bij TOTP-gebaseerde MFA of dat de authenticator-app hoorde bij het gebruikersaccount dat probeerde in te loggen, legden de onderzoekers uit.
Zo kon de aanvaller inloggen op de Box-account van het slachtoffer zonder toegang tot de telefoon van het slachtoffer en zonder dat het slachtoffer op de hoogte werd gesteld van de activiteit.
“We willen benadrukken dat MFA-implementaties gevoelig zijn voor bugs, net als elke andere code. MFA kan een vals gevoel van veiligheid bieden. Het feit dat MFA is ingeschakeld, betekent niet noodzakelijkerwijs dat een aanvaller fysieke toegang moet krijgen tot het apparaat van een slachtoffer om zijn of haar account te compromitteren”, aldus Varonis.
Zie ook: Waarom negeren gebruikers multi-factor authenticatie?
Zie ook: Grote Amerikaanse mobiele providers zijn kwetsbaar voor SIM-swapping-aanvallen
Zie ook: Chinese hackers onderscheppen sms-verkeer bij mobiele operators
Ionut Arghire is een internationale correspondent voor SecurityWeek.
Tags: Bron: https://www.securityweek.com/multi-factor-authentication-bypass-led-box-account-takeover
