Die Sicherheitsforscher von Varonis haben eine Möglichkeit entdeckt, die Multi-Faktor-Authentifizierung (MFA) per SMS für Box-Konten zu umgehen. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne dabei auf das Telefon des Opfers zugreifen zu müssen. Die Sicherheitsforscher haben Box diese Schwachstelle am 3. November 2021 über HackerOne gemeldet, woraufhin sie geschlossen wurde. Erst im letzten Monat zeigten die Varonis Thread Labs, wie die TOTP-basierte MFA von Box umgangen werden konnte. Beide Lücken verdeutlichen, dass Cloud-Security auch beim Einsatz von scheinbar sicheren Technologien niemals als selbstverständlich anzusehen ist und es einer mehrschichtigen Sicherheitsstrategie bedarf.
Wie die meisten Applikationen ermöglicht Box Nutzern ohne Single-Sign-On (SSO) die Verwendung einer Authentifizierungs-App (wie Okta-Verify oder Google-Authenticator) oder einer SMS mit einem einmaligen Sicherheitscode als zweiten Schritt der Authentifizierung. Nach der Eingabe eines Benutzernamens und eines Kennworts in das Anmeldeformular setzt Box ein Session-Cookie und leitet den Benutzer entweder zu einem Formular zur Eingabe eines temporären Einmalpassworts (TOTP), wenn der Benutzer bei einer Authentifizierungs-App angemeldet ist, oder einem Formular zur Eingabe eines SMS-Codes, wenn sich der Benutzer für den Empfang eines Sicherheitscodes per SMS angemeldet hat.
Gefährliche Vermischung der MFA-Methoden
Auch wenn der Nutzer nicht zum SMS-Verifizierungsformular navigiert, wird ein Session-Cookie erzeugt. Entsprechend müssen Angreifer nur die E-Mail-Adresse und das Kennwort des Benutzers eingeben, die sie bereits per Phishing erhalten oder im Dark-Web erworben haben, um ein gültiges Session-Cookie zu erhalten. Nachdem das Cookie generiert wurde, können die Angreifer das SMS-basierte MFA-Verfahren (bei dem der Benutzer angemeldet ist) abbrechen und stattdessen das TOTP-basierte MFA-Verfahren einleiten und so die MFA-Modi vermischen. Die Angreifer schließen den Authentifizierungsprozess ab, indem sie eine Faktor-ID und einen Code von ihrem eigenen Box-Konto und ihrer Authentifizierungs-App an den TOTP-Verifizierungsendpunkt senden. Dabei verwenden sie das Session Cookie, das sie durch die Angabe der Anmeldedaten des Opfers erhalten haben. Bis zur Schließung der Sicherheitslücke hat Box nicht überprüft, ob das Opfer zur TOTP-Verifizierung angemeldet war und ob die verwendete Authentifizierungs-App auch tatsächlich dem zugeodneten Benutzer gehörte, der sich anmelden möchte. Dadurch war es möglich, auf das Box-Konto des Benutzers zuzugreifen, ohne das Telefon des Opfers verwenden zu müssen oder es per SMS zu benachrichtigen.
Ablauf des Angriffs
- Der Angreifer meldet sich bei der Multi-Faktor-Authentifizierung mit einer Authentifizierungs-App an und speichert die Faktor-ID des Geräts.
- Der Angreifer gibt die E-Mail-Adresse und das Passwort des Opfers auf account.box.com/login ein.
- Wenn das Kennwort korrekt ist, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie und wird zu /2fa/verification weitergeleitet.
- Der Angreifer folgt jedoch nicht der Weiterleitung zum SMS-Verifizierungsformular, sondern postet seine eigene Faktor-ID und den Code von der Authenticator-App an den TOTP-Verifizierungsendpunkt /mfa/verification.
- Der Angreifer ist nun im Konto des Opfers angemeldet, das keine SMS-Nachricht erhält und so nichts bemerkt
Der Verlauf eines solchen Angriffs wird in diesem Video anschaulich dargestellt.
#Varonis