Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Bedrohungsanalyse

Umgehung der zeitabhängigen Einmalkennwort-MFA von Box

Das Varonis-Forschungsteam hat eine Möglichkeit entdeckt, die Multi-Faktor-Authentifizierung für Box-Konten zu umgehen, die Authentifizierungs-Apps wie den Google Authenticator verwenden.
Tal Peleg
2 minute gelesen
Letzte aktualisierung 1. Februar 2022

Inhalt

    Das Varonis-Forschungsteam hat eine Möglichkeit entdeckt, die Multi-Faktor-Authentifizierung für Box-Konten zu umgehen, die Authentifizierungs-Apps wie den Google Authenticator verwenden.

    Mit der unten gezeigten Technik könnte ein Angreifer mit gestohlenen Anmeldeinformationen das Box-Konto eines Unternehmens kompromittieren und vertrauliche Daten exfiltrieren, ohne ein Einmalpasswort anzugeben.

    Wir haben dieses Problem am 3. November über HackerOne an Box weitergeleitet. Ihr Team hat seitdem einen Fix veröffentlicht.

    Hintergrund

    Ab Januar 2021 bietet Box die Möglichkeit, für Konten TOTP-basierte Authentifizierungs-Apps wie Google Authenticator, Okta Verify, Authy, Duo und andere zu benutzen.

    Aus offensichtlichen Gründen empfiehlt Box, eher über TOTP statt über SMS zu authentifizieren. SMS-Nachrichten können durch SIM-Swapping, Port-Out-Betrug und andere bekannte Techniken abgefangen werden.

    Authentifizierungs-Apps, die mit dem TOTP-Algorithmus (zeitbasiertes Einmalkennwort) arbeiten, sind nicht nur einfacher für den Endbenutzer, sondern auch viel sicherer als SMS. Normalerweise.

    Wie funktioniert die MFA von Box?

    Wenn ein Benutzer eine Authentifizierungs-App zu seinem Box-Konto hinzufügt, wird der App im Hintergrund eine Faktor-ID zugewiesen. Jedes Mal, wenn der Benutzer versucht, sich anzumelden, fordert Box den Benutzer zur Eingabe seiner E-Mail und seines Passworts auf, gefolgt von einem Einmalkennwort aus seiner Authentifizierungs-App.

    Wenn der Benutzer den zweiten Faktor nicht eingibt, kann er nicht auf die Dateien und Ordner in seinem Box-Konto zugreifen. Das dient als zweite Verteidigungslinie für den Fall, dass der Benutzer ein schwaches Passwort verwendet (bzw. eines, das bereits geleakt wurde).

    Was ist das Problem?

    Unser Team hat festgestellt, dass der Benutzer für den Endpoint /mfa/unenrollment unenrollment nicht vollständig authentifiziert sein musste, um ein TOTP-Gerät von einem Benutzerkonto zu entfernen. Daher konnten wir einen Benutzer mithilfe des Benutzernamens und des Passworts erfolgreich abmelden - noch bevor der zweite Faktor angegeben werden musste.

    Nachdem wir die Abmeldung durchgeführt hatten, konnten wir uns ohne MFA-Anforderungen anmelden und erhielten vollen Zugriff auf das Box-Konto des Benutzers, einschließlich aller Dateien und Ordner. Vor dem Fix durch Box konnten die Angreifer Benutzerkonten durch Credential Stuffing, Brute Force usw. kompromittieren.

    Sehen Sie den Angriff in Aktion:

    Angriffsverlauf

    1. Der Angreifer gibt die E-Mail-Adresse und das Passwort des Benutzers unter account.box.com/login

    2. Ist das Passwort korrekt, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie, das ihm Zugang zu einer begrenzten Anzahl von Endpoints gewährt, darunter der Endpoint /mfa/unenrollment

    3. Anstatt ein gültiges Einmalkennwort von einer Authentifizierungs-App an den Endpoint / /mfa/verification zu übergeben, POSTet der Angreifer die Faktor-ID des Geräts an den Endpoint /mfa/unenrollment und meldet erfolgreich diese Geräte/Benutzerkonto-Kombination von der TOTP-basierten MFA ab.

    4. Der Angreifer kann sich nun erneut mit der Ein-Faktor-Authentifizierung anmelden und erhält vollen Zugriff auf das Benutzerkonto und dessen Daten.

    Wichtige Lektionen

    MFA ist ein Schritt in Richtung eines sichereren Internets und einer zuverlässigeren Authentifizierung für die SaaS-Anwendungen, auf die wir uns verlassen, aber MFA ist nicht perfekt. Die Umstellung auf TOTP-basierte MFA wurde mit massivem Druck vorangetrieben, aber wenn bei der Implementierung Fehler gemacht werden, kann sie durchaus umgangen werden.

    Obwohl niemand gegen Bugs und Schwachstellen gefeit ist, ist es sehr empfehlenswert, Ihre MFA-Implementierung an einen Drittanbieter (z. B. Okta) zu delegieren, der auf Authentifizierung spezialisiert ist. So lässt sich die Wahrscheinlichkeit minimieren, dass ein Authentifizierungsfehler in Ihrer Anwendung entsteht.

    Das obige Beispiel ist lediglich eine Umgehungstechnik für eine SaaS-Plattform. Es gibt noch viele weitere, von denen wir einige bald veröffentlichen werden. Eine solide Authentifizierung ist nur ein Teil einer effektiven Verteidigungsstrategie. Es ist wichtig, einen Defense-in-Depth-Ansatz zu verfolgen, bei dem Verletzungen von vornherein angenommen werden – insbesondere, wenn Sie sich Sorgen um Insider-Bedrohungen machen.

    Schließlich ist Ihre Sicherheit nur so gut wie Ihr schwächstes Glied. Verwenden Sie zusätzlich zu MFA nach Möglichkeit SSO, setzen Sie strenge Passwortrichtlinien durch, überwachen Sie Websites wie HaveIBeenPwnd auf Konten, die mit Ihrer Domäne verbunden sind, und vermeiden Sie leicht zu knackende Antworten („Wie lautet der Mädchenname Ihrer Mutter?“) im Rahmen Ihrer Authentifizierungsabläufe.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Tal Peleg
    Tal Peleg

    Tal Peleg ist ein leitender Sicherheitsforscher bei Varonis. Tal, auch bekannt als TLP, ist ein Full-Stack-Hacker mit Erfahrung in der Analyse von Malware, Windows-Domänen, Webservern und der Cloud. Seine Forschung konzentriert sich derzeit auf Cloud-Anwendungen und APIs.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    entdeckung-von-sicherheitslücken-in-outlook-und-neue-möglichkeiten,-ntlm-hashes-zu-leaken
    Entdeckung von Sicherheitslücken in Outlook und neue Möglichkeiten, NTLM-Hashes zu leaken
    entdeckung-von-sicherheitslücken-in-outlook-und-neue-möglichkeiten,-ntlm-hashes-zu-leaken
    Dolev Taler
    8. Februar 2024
    Varonis Threat Labs hat einen neuen Outlook-Exploit und drei neue Möglichkeiten entdeckt, auf NTLM-v2-Hash-Passwörter zuzugreifen.
    microsoft-office-„im-sturm“-erobern
    Microsoft Office „im Sturm“ erobern
    microsoft-office-„im-sturm“-erobern
    Jason Hill
    18. Juli 2023
    Die Ransomware-Gruppe „Storm-0978“ nutzt aktiv eine ungepatchte Sicherheitslücke in Microsoft Office und Windows HTML zur Remote-Ausführung von Code aus.
    ghost-sites:-datendiebstahl-aus-deaktivierten-salesforce-communitys
    Ghost Sites: Datendiebstahl aus deaktivierten Salesforce-Communitys
    ghost-sites:-datendiebstahl-aus-deaktivierten-salesforce-communitys
    Nitay Bachrach
    31. Mai 2023
    Varonis Threat Labs hat entdeckt, dass inkorrekt deaktivierte „Ghost Sites“ auf Salesforce von Angreifern leicht gefunden, darauf zugegriffen und mit Exploits ausgenutzt werden können.
    vmware-esxi-im-ransomware-visier
    VMware ESXi im Ransomware-Visier
    vmware-esxi-im-ransomware-visier
    Jason Hill
    7. Februar 2023
    Server, auf denen der beliebte Virtualisierungshypervisor VMware ESXi läuft, wurden in der vergangenen Woche von mindestens einer Ransomware-Gruppe angegriffen. Das geschah wahrscheinlich im Anschluss an Scan-Aktivitäten, um Hosts mit OpenSLP-Schwachstellen (Open Service Location Protocol) zu identifizieren.