Meldung

Multifaktor-Authentifizierung von Box ließ sich aushebeln

Box reiht sich in die lange Liste der Cloud-Anbieter ein, bei denen kürzlich MFA-Schwachstellen aufgedeckt wurden: Das Varonis-Forschungsteam entdeckte eine Möglichkeit, MFA durch eine klassische Ein-Faktor-Authentifizierung für Box-Konten zu ersetzen, die Authentifizierungs-Apps wie Google Authenticator verwenden. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne ein Einmal-Passwort verwenden zu müssen.
Im Januar 2021 führte Box die Möglichkeit für Konten ein, TOTP (time-based one-time password)-basierte Authentifizierungs-Apps wie Google Authenticator, Okta Verify, Authy oder Duo zu verwenden. Dabei empfiehlt Box zeitbasierte Einmalpasswörter gegenüber SMS-basierter Authentifizierung aus naheliegenden Gründen: SMS-Nachrichten können durch SIM-Swapping, Port-Out-Betrug und andere Techniken gekapert werden. Authentifizierungs-Apps, die den TOTP-Algorithmus (zeitbasiertes Einmal-Passwort) verwenden, sind nicht nur einfacher für den Anwender, sondern normalerweise auch wesentlich sicherer als SMS.

Wenn ein Benutzer eine Authentifizierungs-App zu seinem Box-Konto hinzufügt, wird der App im Hintergrund eine Faktor-ID zugewiesen. Jedes Mal, wenn der Benutzer versucht, sich anzumelden, fordert Box den Benutzer zur Eingabe seiner E-Mail und seines Passworts auf, gefolgt von einem Einmalpasswort von seiner Authentifizierungs-App. Gibt der Benutzer den zweiten Faktor nicht an, kann er nicht auf die Dateien und Ordner in seinem Box-Konto zugreifen. Dies bietet eine zweite Verteidigungslinie für den Fall, dass ein Benutzer ein schwaches (oder geleaktes) Passwort hat.

MFA ließ sich abschalten
Das Varonis-Team hat festgestellt [1], dass der Endpoint "/mfa/unenrollment" keine vollständige Authentifizierung des Benutzers erfordert, um ein TOTP-Gerät aus einem Benutzerkonto zu entfernen. Infolgedessen konnte man einen Benutzer erfolgreich von MFA abmelden, nachdem er einen Benutzernamen und ein Passwort und bevor er den zweiten Faktor angegeben hatte.

Nach dieser Deaktivierung war es möglich, sich ohne MFA anzumelden und vollen Zugriff auf das Box-Konto des Benutzers einschließlich aller Dateien und Ordner zu erhalten. Auf diese Weise konnten auch durch MFA gesicherte Box-Benutzerkonnten durch Credential Stuffing, Brute Force oder mittels gephishter Anmeldedaten kompromittiert werden.

Der Angreifer gibt die E-Mail-Adresse und das Passwort eines Benutzers auf "account.box.com/login" ein. Ist das Kennwort korrekt, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie, das den Zugriff auf eine begrenzte Anzahl von Endpunkten gewährt, darunter "/mfa/unenrollment".

Anstatt ein gültiges Einmalpasswort von einer Authentifizierungsanwendung an den Endpoint "/mfa/verification" zu übermitteln, postet der Angreifer die Faktor-ID des Geräts an "/mfa/unenrollment" und hebt die Registrierung des Geräts/der Benutzerkonto-Kombination von der TOTP-basierten MFA erfolgreich auf. Der Angreifer kann sich nun erneut anmelden (jetzt genügt die Ein-Faktor-Authentifizierung) und erhält vollen Zugriff auf das Benutzerkonto und dessen Daten.

Die Sicherheitsforscher haben Box die Schwachstelle am 3. November über HackerOne gemeldet, woraufhin sie geschlossen wurde. Dennoch verdeutlicht diese Sicherheitslücke, dass Cloud-Security auch beim Einsatz von scheinbar sicheren Technologien niemals als selbstverständlich anzusehen ist. So haben die Sicherheitsforscher von Varonis zwei weitere MFA-Umgehungen in weit verbreiteten SaaS-Anwendungen entdeckt, die nach ihrer Behebung veröffentlicht werden.
7.12.2021/dr

Tipps & Tools

Schwachstellen in GPS-Trackern [2.08.2022]

Sicherheitsforscher von BitSight fanden sechs Schwachstellen in GPS-Trackern des Herstellers MiCODUS. Sie ermöglichen es Hackern unter anderem, den Standort von Personen ohne deren Wissen nachzuverfolgen, Flotten von Liefer- und Einsatzfahrzeugen aus der Ferne zu deaktivieren, und zivile Fahrzeuge auf Autobahnen abrupt anzuhalten. [mehr]

Download der Woche: Metasploit Framework [27.07.2022]

Kenne deinen Gegner. Die alte Weisheit, dass Sie als Admin wie ein Hacker denken müssen, hat mehr denn je Gültigkeit. Erkennen Sie die eigenen Schwachpunkte frühzeitig, sind Sie den Bösewichten einen Schritt voraus. Hier kann Ihnen das Open-Source-Projekt "Metasploit Framework" Hilfe leisten. Mit dem Werkzeug machen Sie Sicherheitslücken in Ihren Netzwerken ausfindig. [mehr]

Fachartikel

Advertorial: E-Book OPNsense – Mehr als eine Firewall [31.07.2022]

Als leicht bedienbare Security-Plattform findet die Open Source Firewall OPNsense in immer mehr Unternehmen Anwendung. Aber OPNsense punktet nicht nur durch hohe Zugänglichkeit und den Wegfall von Lizenzkosten: Dank seines modularen Aufbaus integriert es die besten Open-Source-Sicherheitslösungen unter einer einheitlichen Oberfläche und überzeugt so mit einem Funktionsumfang, der viele kostenpflichtige Lösungen übertrifft. Im neuen E-Book "OPNsense – Mehr als eine Firewall" der Thomas-Krenn.AG und ihrem Partner m.a.x. it finden Sie alle Informationen zum Einstieg in OPNsense und für die Grundabsicherung eines Unternehmensnetzes. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen