Box 2FA Bypass Membuka Akun Pengguna untuk Diserang

UPDATE

A lubang keamanan di Box, layanan berbagi file berbasis cloud, membuka jalan untuk menghilangkan otentikasi multifaktor (MFA), kata para peneliti – dan ini adalah bypass MFA kedua yang mereka temukan dalam layanan sejauh ini.

Jelas, taruhannya tinggi – memperoleh akses ke akun Box dapat memberi penyerang siber akses ke beragam dokumen dan data sensitif baik untuk individu maupun organisasi. Perusahaan mengklaim 97.000 perusahaan dan 68 persen dari Fortune 500 sebagai pelanggan. Peneliti

Varonis Threat Labs mengatakan bypass bekerja pada akun yang menggunakan kode SMS satu kali untuk verifikasi dua faktor otentikasi (2FA). Dalam eksploitasi proof-of-concept, mereka dapat mencapai bypass dengan mencuri cookie sesi.

“Dengan meningkatnya tekanan untuk mengadopsi dan menerapkan otentikasi multi-faktor, banyak penyedia [software-as-a-service] sekarang menawarkan beberapa Opsi MFA untuk memberikan pengguna garis pertahanan kedua terhadap isian kredensial dan serangan kata sandi lainnya. “Seperti banyak aplikasi, Box memungkinkan pengguna tanpa Single Sign-On (SSO), atau SMS dengan kode sandi satu kali sebagai langkah kedua dalam otentikasi.”

Ketika pengguna masuk dengan kredensialnya, Box menghasilkan cookie dan pengguna diminta untuk menavigasi ke halaman verifikasi SMS, di mana orang tersebut diperintahkan untuk memasukkan kode sandi satu kali yang dikirim ke ponsel terdaftar.

Namun, jika pengguna tidak menavigasi ke halaman verifikasi, tidak ada kode SMS dihasilkan, tetapi cookie sesi masih ada. Pada titik inilah bug mulai bermain. Pelaku ancaman jahat yang mencoba masuk dengan kredensial curian bisa saja melewatkan halaman verifikasi SMS, dan bisa saja memulai opsi MFA lain yang disediakan oleh Box: Menggunakan aplikasi autentikator, seperti Okta Verify atau Google Authenticator.

Jika penyerang melakukannya telah melakukan ini, mereka dapat membobol akun target dengan menggunakan ID faktor dan kode dari akun Box mereka sendiri, cookie sesi yang diterima dengan memberikan kredensial korban, dan aplikasi autentikator mereka sendiri – tanpa memerlukan akses fisik ke ponsel korban .

“Box tidak memverifikasi apakah korban terdaftar dalam verifikasi TOTP [time-based one-time password] dan tidak memvalidasi bahwa aplikasi autentikator yang digunakan adalah milik pengguna yang sedang login,” para peneliti menjelaskan dalam analisis hari Selasa tentang kerentanan. “Ini memungkinkan untuk mengakses akun Kotak korban tanpa ponsel korban dan tanpa memberi tahu pengguna melalui SMS.”

Alur serangan proof-of-concept adalah sebagai berikut, menurut Varonis:

<

ul>

  • Attacker mendaftar di MFA menggunakan aplikasi dan toko authenticator ID faktor perangkat.liu

    <

    ul>iAttacker memasukkan alamat email dan kata sandi pengguna di account.box.com/login.liu

    <

    ul>iJika kata sandinya benar, browser penyerang akan dikirimi cookie otentikasi baru dan dialihkan ke: /2fa/verification.liu

    <

    ul>iPenyerang, namun , tidak mengikuti pengalihan ke formulir verifikasi SMS. Sebagai gantinya, mereka meneruskan ID faktor dan kode mereka sendiri dari aplikasi autentikator ke titik akhir verifikasi TOTP: /mfa/verification.liu

      iPenyerang sekarang masuk ke akun korban dan korban tidak menerima pesan SMS.

    Box telah memperbaiki masalah, tetapi “kami ingin menggarisbawahi bahwa implementasi MFA rentan terhadap bug, sama seperti kode lainnya,” catat para peneliti. “Tim kami telah menunjukkan bukan hanya satu, tetapi dua kelemahan aplikasi yang memungkinkan kami untuk mengakses akun Box berkemampuan MFA korban hanya dengan nama pengguna dan kata sandi. Peringatan spoiler: Box bukan satu-satunya penyedia SaaS utama yang dapat kami lewati.”

    Permintaan pertama yang ditemukan para peneliti berhasil pada MFA.

    berbasis autentikator“Ada beberapa masalah yang menyebabkan kerentanan ini,” Zane Bond, direktur manajemen produk di Keeper Security, mengatakan melalui email. “Namun, pada akhirnya, yang satu ini berada dalam wadah yang mirip dengan banyak kerentanan OAuth dan SAML yang ditemukan. Teknologi yang mendasari biasanya suara. Masalah ini cenderung berasal dari implementasi individu, atau kesalahan dalam logika implementasi. Pada akhirnya, setiap vendor bertanggung jawab atas implementasi yang benar dari kontrol keamanan tertentu, dan itu tidak mudah.”

    Untuk bagiannya, Box mengeluarkan pernyataan berikut kepada Threatpost:

    “Ini adalah bug yang diidentifikasi dan diatasi sebelum rilis posting blog. Kami menyelidiki dampak dari setiap bug yang dilaporkan kepada kami dan tidak ada dampak terhadap pelanggan yang diamati. Kami terus bekerja dengan komunitas keamanan dan mitra kami untuk mengidentifikasi dan mengatasi masalah potensial.”

    Cara Melindungi Terhadap Bypass MFA

    MFA dapat memberikan rasa aman yang salah, catat para peneliti – dan organisasi harus memastikan bahwa bypass jarang terjadi dengan menerapkan perlindungan akal sehat.

    Salah satunya adalah pelatihan kesadaran phishing seluler, menurut Hank Schless, manajer senior solusi keamanan di Lookout.

    “Otentikasi multifaktor adalah cara efektif bagi pengguna akhir untuk memvalidasi identitas mereka. Namun, itu tidak dapat membedakan apakah pengguna benar-benar seperti yang mereka katakan, ”katanya melalui email. “Masalah yang disoroti oleh Varonis adalah kredensial pengguna yang disusupi dapat membuat alat otentikasi tambahan menjadi kurang efektif.”

    Sementara itu, untuk mengurangi risiko akses tidak sah ke aplikasi, data, dan infrastruktur, bahkan dengan kredensial yang sah, organisasi juga dapat menerapkan akses cloud solusi security broker (CASB) dan zero trust network access (ZTNA), yang mendeteksi perilaku pengguna yang tidak wajar dan memverifikasi identitas.

    “Selain mengamankan titik akhir, organisasi juga harus dapat mengamankan akses dan tindakan secara dinamis baik di cloud maupun pribadi aplikasi,” kata Schless. “Di sinilah solusi ZTNA dan CASB bersinar. Dengan memahami interaksi antara pengguna, perangkat, jaringan, dan data, organisasi dapat memahami indikator utama kompromi yang mengarah ke ransomware atau pemusnahan data besar-besaran yang terjadi. Bersama-sama, mengamankan titik akhir seluler karyawan serta aplikasi cloud dan pribadi Anda akan membantu organisasi menciptakan postur keamanan yang solid berdasarkan filosofi tanpa kepercayaan.” Peneliti

    Varonis mencatat bahwa CISO harus menanyakan hal berikut:

    <

    ul>

  • Apakah saya tahu apakah MFA dinonaktifkan atau dilewati untuk pengguna di semua aplikasi SaaS saya?liu

    <

    ul>iBerapa banyak data yang dapat diakses penyerang jika mereka membahayakan akun pengguna normal?liu

    <

    ul>iApakah ada data yang tidak perlu diekspos ke terlalu banyak pengguna (atau diekspos ke publik)liu

      iJika pengguna mengakses data secara tidak normal, apakah saya akan mendapatkan peringatan ?

    “Kami menyarankan Anda memulai dengan mengamankan data di tempat tinggalnya,” menurut Varonis. “Ketika Anda membatasi akses dan memantau data itu sendiri, kemungkinan Anda untuk melakukan eksfiltrasi data karena bypass perimeter akan turun secara signifikan.”

    Postingan ini diperbarui pada pukul 13:40. ET dengan pernyataan dari Box.
    Tulis komentar
    Bagikan artikel ini:

  • Keamanan Cloudliu

    <

    ul>iKeamanan Selulerliu

    <

    ul>iKerentananliu

      iKeamanan Web