Multifaktor-Authentifizierung von Box ließ sich aushebeln

Lesezeit
1 Minute
Bis jetzt gelesen

Multifaktor-Authentifizierung von Box ließ sich aushebeln

07.12.2021 - 10:02
Veröffentlicht in:
Box reiht sich in die lange Liste der Cloud-Anbieter ein, bei denen kürzlich MFA-Schwachstellen aufgedeckt wurden: Das Varonis-Forschungsteam entdeckte eine Möglichkeit, MFA durch eine klassische Ein-Faktor-Authentifizierung für Box-Konten zu ersetzen, die Authentifizierungs-Apps wie Google Authenticator verwenden. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne ein Einmal-Passwort verwenden zu müssen.
Im Januar 2021 führte Box die Möglichkeit für Konten ein, TOTP (time-based one-time password)-basierte Authentifizierungs-Apps wie Google Authenticator, Okta Verify, Authy oder Duo zu verwenden. Dabei empfiehlt Box zeitbasierte Einmalpasswörter gegenüber SMS-basierter Authentifizierung aus naheliegenden Gründen: SMS-Nachrichten können durch SIM-Swapping, Port-Out-Betrug und andere Techniken gekapert werden. Authentifizierungs-Apps, die den TOTP-Algorithmus (zeitbasiertes Einmal-Passwort) verwenden, sind nicht nur einfacher für den Anwender, sondern normalerweise auch wesentlich sicherer als SMS.

Wenn ein Benutzer eine Authentifizierungs-App zu seinem Box-Konto hinzufügt, wird der App im Hintergrund eine Faktor-ID zugewiesen. Jedes Mal, wenn der Benutzer versucht, sich anzumelden, fordert Box den Benutzer zur Eingabe seiner E-Mail und seines Passworts auf, gefolgt von einem Einmalpasswort von seiner Authentifizierungs-App. Gibt der Benutzer den zweiten Faktor nicht an, kann er nicht auf die Dateien und Ordner in seinem Box-Konto zugreifen. Dies bietet eine zweite Verteidigungslinie für den Fall, dass ein Benutzer ein schwaches (oder geleaktes) Passwort hat.

MFA ließ sich abschalten
Das Varonis-Team hat festgestellt [1], dass der Endpoint "/mfa/unenrollment" keine vollständige Authentifizierung des Benutzers erfordert, um ein TOTP-Gerät aus einem Benutzerkonto zu entfernen. Infolgedessen konnte man einen Benutzer erfolgreich von MFA abmelden, nachdem er einen Benutzernamen und ein Passwort und bevor er den zweiten Faktor angegeben hatte.

Nach dieser Deaktivierung war es möglich, sich ohne MFA anzumelden und vollen Zugriff auf das Box-Konto des Benutzers einschließlich aller Dateien und Ordner zu erhalten. Auf diese Weise konnten auch durch MFA gesicherte Box-Benutzerkonnten durch Credential Stuffing, Brute Force oder mittels gephishter Anmeldedaten kompromittiert werden.

Der Angreifer gibt die E-Mail-Adresse und das Passwort eines Benutzers auf "account.box.com/login" ein. Ist das Kennwort korrekt, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie, das den Zugriff auf eine begrenzte Anzahl von Endpunkten gewährt, darunter "/mfa/unenrollment".

Anstatt ein gültiges Einmalpasswort von einer Authentifizierungsanwendung an den Endpoint "/mfa/verification" zu übermitteln, postet der Angreifer die Faktor-ID des Geräts an "/mfa/unenrollment" und hebt die Registrierung des Geräts/der Benutzerkonto-Kombination von der TOTP-basierten MFA erfolgreich auf. Der Angreifer kann sich nun erneut anmelden (jetzt genügt die Ein-Faktor-Authentifizierung) und erhält vollen Zugriff auf das Benutzerkonto und dessen Daten.

Die Sicherheitsforscher haben Box die Schwachstelle am 3. November über HackerOne gemeldet, woraufhin sie geschlossen wurde. Dennoch verdeutlicht diese Sicherheitslücke, dass Cloud-Security auch beim Einsatz von scheinbar sicheren Technologien niemals als selbstverständlich anzusehen ist. So haben die Sicherheitsforscher von Varonis zwei weitere MFA-Umgehungen in weit verbreiteten SaaS-Anwendungen entdeckt, die nach ihrer Behebung veröffentlicht werden.

dr

[1] https://www.varonis.com/blog/box-mfa-bypass-totp/

Tags

Ähnliche Beiträge