Meldung

Multifaktor-Authentifizierung von Box ließ sich aushebeln

Box reiht sich in die lange Liste der Cloud-Anbieter ein, bei denen kürzlich MFA-Schwachstellen aufgedeckt wurden: Das Varonis-Forschungsteam entdeckte eine Möglichkeit, MFA durch eine klassische Ein-Faktor-Authentifizierung für Box-Konten zu ersetzen, die Authentifizierungs-Apps wie Google Authenticator verwenden. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne ein Einmal-Passwort verwenden zu müssen.
Im Januar 2021 führte Box die Möglichkeit für Konten ein, TOTP (time-based one-time password)-basierte Authentifizierungs-Apps wie Google Authenticator, Okta Verify, Authy oder Duo zu verwenden. Dabei empfiehlt Box zeitbasierte Einmalpasswörter gegenüber SMS-basierter Authentifizierung aus naheliegenden Gründen: SMS-Nachrichten können durch SIM-Swapping, Port-Out-Betrug und andere Techniken gekapert werden. Authentifizierungs-Apps, die den TOTP-Algorithmus (zeitbasiertes Einmal-Passwort) verwenden, sind nicht nur einfacher für den Anwender, sondern normalerweise auch wesentlich sicherer als SMS.

Wenn ein Benutzer eine Authentifizierungs-App zu seinem Box-Konto hinzufügt, wird der App im Hintergrund eine Faktor-ID zugewiesen. Jedes Mal, wenn der Benutzer versucht, sich anzumelden, fordert Box den Benutzer zur Eingabe seiner E-Mail und seines Passworts auf, gefolgt von einem Einmalpasswort von seiner Authentifizierungs-App. Gibt der Benutzer den zweiten Faktor nicht an, kann er nicht auf die Dateien und Ordner in seinem Box-Konto zugreifen. Dies bietet eine zweite Verteidigungslinie für den Fall, dass ein Benutzer ein schwaches (oder geleaktes) Passwort hat.

MFA ließ sich abschalten
Das Varonis-Team hat festgestellt [1], dass der Endpoint "/mfa/unenrollment" keine vollständige Authentifizierung des Benutzers erfordert, um ein TOTP-Gerät aus einem Benutzerkonto zu entfernen. Infolgedessen konnte man einen Benutzer erfolgreich von MFA abmelden, nachdem er einen Benutzernamen und ein Passwort und bevor er den zweiten Faktor angegeben hatte.

Nach dieser Deaktivierung war es möglich, sich ohne MFA anzumelden und vollen Zugriff auf das Box-Konto des Benutzers einschließlich aller Dateien und Ordner zu erhalten. Auf diese Weise konnten auch durch MFA gesicherte Box-Benutzerkonnten durch Credential Stuffing, Brute Force oder mittels gephishter Anmeldedaten kompromittiert werden.

Der Angreifer gibt die E-Mail-Adresse und das Passwort eines Benutzers auf "account.box.com/login" ein. Ist das Kennwort korrekt, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie, das den Zugriff auf eine begrenzte Anzahl von Endpunkten gewährt, darunter "/mfa/unenrollment".

Anstatt ein gültiges Einmalpasswort von einer Authentifizierungsanwendung an den Endpoint "/mfa/verification" zu übermitteln, postet der Angreifer die Faktor-ID des Geräts an "/mfa/unenrollment" und hebt die Registrierung des Geräts/der Benutzerkonto-Kombination von der TOTP-basierten MFA erfolgreich auf. Der Angreifer kann sich nun erneut anmelden (jetzt genügt die Ein-Faktor-Authentifizierung) und erhält vollen Zugriff auf das Benutzerkonto und dessen Daten.

Die Sicherheitsforscher haben Box die Schwachstelle am 3. November über HackerOne gemeldet, woraufhin sie geschlossen wurde. Dennoch verdeutlicht diese Sicherheitslücke, dass Cloud-Security auch beim Einsatz von scheinbar sicheren Technologien niemals als selbstverständlich anzusehen ist. So haben die Sicherheitsforscher von Varonis zwei weitere MFA-Umgehungen in weit verbreiteten SaaS-Anwendungen entdeckt, die nach ihrer Behebung veröffentlicht werden.
7.12.2021/dr

Tipps & Tools

Mehr Cloudsicherheit durch Zero-Trust-Segmentierung [27.01.2022]

Immer neue erfolgreiche Ransomware-Attacken lassen nicht zuletzt angesichts des oft enormen materiellen Schadens aufhorchen, den ihre Opfer erleiden – und der sich für die betroffenen Organisationen bis zur Überlebensfrage ausweiten kann. Eine junge Verteidigungsstrategie gegen die Erpresser ist die Zero-Trust-Segmentierung, die unser Fachartikel vorstellt. Dabei erfahren Sie unter auch, wie es die Mikrosegmentierung im Zusammenspiel mit einer Livekarte vermag, den modernen Cybergefahren mehr Granularität und Flexibilität entgegenzusetzen, als das die traditionellen Werkzeuge schaffen. [mehr]

KMU-Strategien gegen Ransomware [20.01.2022]

Kriminelle finden immer schneller Möglichkeiten, um mit Ransomware und vielen anderen Angriffsarten Sicherheitsvorkehrungen zu knacken – und haben damit bei zahlreichen KMU leichteres Spiel, die mit der Planung und Ausführung entsprechender IT-Sicherheitsmaßnahmen hinterhinken. Deshalb thematisiert unser Onlinebeitrag unter anderem, wie sich Mittelständler aus einer riskanten abwartenden Haltung befreien und sich mit der richtigen Cybersecurity-Strategie vor Bedrohungen aus dem Netz schützen. [mehr]

Fachartikel

Mehr Cloudsicherheit durch Zero-Trust-Segmentierung [26.01.2022]

Die jüngsten Ransomware-Attacken lassen aufhorchen. Über Nacht wurden gut aufgestellte Firmen zu Fall gebracht und Millionenwerte vernichtet. Gerade wenn sich Lieferverträge in einer Just-in-time-Lieferkette nicht einhalten lassen, gerät der entstandene Schaden schnell zu einer Überlebensfrage. Warum Zero-Trust-Segmentierung der neue Standard gegen Erpresser ist und im Zusammenspiel mit einer Livekarte dabei hilft, Risiken zu minimieren und Applikationen gegen Angriffe zu sichern, verdeutlicht dieser Fachartikel. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen