Siber güvenlik araştırmacıları, Box’ın çok faktörlü kimlik doğrulama (MFA) mekanizmasında, SMS tabanlı oturum açma doğrulamasını tamamen ortadan kaldırmak için kötüye kullanılabilecek bir hatanın ayrıntılarını açıkladı.
Varonis araştırmacıları, “Bu tekniği kullanarak, bir saldırgan, bir kuruluşun Box hesabını tehlikeye atmak ve hassas verileri kurbanın telefonuna erişmeden sızdırmak için çalınan kimlik bilgilerini kullanabilir.” söz konusu The Hacker News ile paylaşılan bir raporda.
Siber güvenlik şirketi, sorunu 2 Kasım 2021’de bulut hizmeti sağlayıcısına bildirdiğini ve Box tarafından düzeltmelerin yayınlandığını söyledi.
MFA, kullanıcılara kimlik bilgilerinin doldurulmasına karşı ikinci bir savunma katmanı sağlamak için parola (yalnızca kullanıcının bildiği bir şey) ve geçici bir kerelik parola, yani TOTP (yalnızca kullanıcının sahip olduğu bir şey) gibi faktörlerin bir kombinasyonuna dayanan bir kimlik doğrulama yöntemidir. ve diğer hesap ele geçirme saldırıları.
Bu iki aşamalı kimlik doğrulama, kodun SMS olarak gönderilmesini veya alternatif olarak, bir kimlik doğrulama uygulaması veya bir donanım güvenlik anahtarı aracılığıyla erişilmesini içerebilir. Böylece, SMS doğrulaması için kayıtlı bir Box kullanıcısı geçerli bir kullanıcı adı ve şifre ile giriş yaptığında, hizmet bir oturum çerezi kurar ve kullanıcıyı, hesaba erişim sağlamak için TOTP’nin girilebileceği bir sayfaya yönlendirir.
Varonis tarafından tanımlanan baypas, araştırmacıların MFA modlarının bir karışımı olarak adlandırdıkları şeyin bir sonucudur. Saldırgan, kurbanın kimlik bilgileriyle oturum açtığında ve SMS tabanlı kimlik doğrulamasını, örneğin, yalnızca kendi Box hesabıyla ilişkili TOTP’yi sağlayarak oturum açmayı başarıyla tamamlamak için kimlik doğrulayıcı uygulamasını kullanan farklı bir işlem lehine terk ettiğinde ortaya çıkar.
“Box, kurbanın kaydolmadığını özlüyor [in] bir kimlik doğrulama uygulaması ve bunun yerine tamamen farklı bir hesaptan gelen geçerli bir kimlik doğrulama şifresini, giriş yapan kullanıcıya ait olup olmadığını kontrol etmeden körü körüne kabul ediyor” dedi araştırmacılar. telefonla veya SMS ile kullanıcıya bildirilir.”
Başka bir deyişle, Box yalnızca kurbanın kimlik doğrulama uygulaması tabanlı bir doğrulamaya (veya SMS’i engelleyen başka bir yönteme) kaydolup kaydolmadığını kontrol etmekle kalmadı, aynı zamanda girilen kodun aslında kurbanla bağlantılı bir kimlik doğrulama uygulamasından geldiğini doğrulamadı. kim giriş yapmaya çalışıyor
Bulgular Varonis’ten bir aydan biraz daha uzun bir süre sonra geldi ifşa kötü niyetli aktörlerin “kaydı iptal ederek” kimlik doğrulayıcı tabanlı doğrulamayı aşmasını sağlayabilecek benzer bir teknik[ing] bir kullanıcı adı ve parola sağladıktan sonra ancak ikinci faktörü sağlamadan önce MFA’dan bir kullanıcı.”
Araştırmacılar, Aralık 2021’in başlarında, “/mfa/kayıt iptali uç noktası, bir TOTP cihazını bir kullanıcının hesabından kaldırmak için kullanıcının kimliğinin tam olarak doğrulanmasını gerektirmiyordu” dedi.
“MFA, yalnızca kodu yazan geliştirici kadar iyidir [and] yanlış bir güvenlik duygusu sağlayabilir” diye sonuca varan araştırmacılar, “MFA’nın etkin olması, bir saldırganın hesabını tehlikeye atmak için kurbanın cihazına fiziksel erişim sağlaması gerektiği anlamına gelmez.”
.
siber-2