Das Varonis-Forschungsteam entdeckte eine Möglichkeit, MFA durch eine klassische Ein-Faktor-Authentifizierung für Box-Konten zu ersetzen, die Authentifizierungs-Apps wie Google Authenticator verwenden. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne ein Einmal-Passwort verwenden zu müssen. Die Sicherheitsforscher haben Box diese Schwachstelle am 3. November über HackerOne gemeldet, woraufhin sie geschlossen wurde. Dennoch verdeutlicht diese Sicherheitslücke, dass Cloud-Security auch beim Einsatz von scheinbar sicheren Technologien niemals als selbstverständlich anzusehen ist. So haben die Sicherheitsforscher von Varonis zwei weitere MFA-Umgehungen in weit verbreiteten SaaS-Anwendungen entdeckt, die nach ihrer Behebung veröffentlicht werden.
Im Januar 2021 führte Box die Möglichkeit für Konten ein, TOTP (time-based one-time password)-basierte Authentifizierungs-Apps wie Google Authenticator, Okta Verify, Authy oder Duo zu verwenden. Dabei empfiehlt Box zeitbasierte Einmalpasswörter gegenüber SMS-basierter Authentifizierung aus naheliegenden Gründen: SMS-Nachrichten können durch SIM-Swapping, Port-Out-Betrug und andere Techniken gekapert werden. Authentifizierungs-Apps, die den TOTP-Algorithmus (zeitbasiertes Einmal-Passwort) verwenden, sind nicht nur einfacher für den Anwender, sondern normalerweise auch wesentlich sicherer als SMS.
Wenn ein Benutzer eine Authentifizierungs-App zu seinem Box-Konto hinzufügt, wird der App im Hintergrund eine Faktor-ID zugewiesen. Jedes Mal, wenn der Benutzer versucht, sich anzumelden, fordert Box den Benutzer zur Eingabe seiner E-Mail und seines Passworts auf, gefolgt von einem Einmalpasswort von seiner Authentifizierungs-App.
Wenn der Benutzer den zweiten Faktor nicht angibt, kann er nicht auf die Dateien und Ordner in seinem Box-Konto zugreifen. Dies bietet eine zweite Verteidigungslinie für den Fall, dass ein Benutzer ein schwaches (oder geleaktes) Passwort hat.
Das Varonis-Team hat festgestellt, dass der Endpoint /mfa/unenrollment keine vollständige Authentifizierung des Benutzers erfordert, um ein TOTP-Gerät aus einem Benutzerkonto zu entfernen. Infolgedessen konnte man einen Benutzer erfolgreich von MFA abmelden, nachdem er einen Benutzernamen und ein Passwort und bevor er den zweiten Faktor angegeben hatte. Nach dieser Deaktivierung war es möglich, sich ohne MFA anzumelden und vollen Zugriff auf das Box-Konto des Benutzers einschließlich aller Dateien und Ordner zu erhalten. Auf diese Weise konnten auch durch MFA gesicherte Box-Benutzerkonnten durch Credential Stuffing, Brute Force oder mittels gephishter Anmeldedaten kompromittiert werden.
Ablauf des Angriffs
- Der Angreifer gibt die E-Mail-Adresse und das Passwort eines Benutzers auf account.box.com/login ein.
- Wenn das Kennwort korrekt ist, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie, das den Zugriff auf eine begrenzte Anzahl von Endpunkten gewährt, darunter /mfa/unenrollment.
- Anstatt ein gültiges Einmalpasswort von einer Authentifizierungsanwendung an den Endpoint /mfa/verification zu übermitteln, postet der Angreifer die Faktor-ID des Geräts an /mfa/unenrollment und hebt die Registrierung des Geräts/der Benutzerkonto-Kombination von der TOTP-basierten MFA erfolgreich auf.
- Der Angreifer kann sich nun erneut anmelden (jetzt genügt die Ein-Faktor-Authentifizierung) und erhält vollen Zugriff auf das Benutzerkonto und dessen Daten.
Dieses Video zeigt den Ablauf des Angriffs.
Korrekte Implementierung ist ein wesentlicher Faktor bei MFA
MFA ist ein wichtiger Schritt in Richtung eines sichereren Internets und einer zuverlässigeren Authentifizierung für SaaS-Anwendungen. Gleichwohl ist MFA nicht perfekt, insbesondere wenn es zu Fehlern bei der Implementierung kommt. Kein Unternehmen ist vor Bugs und Schwachstellen gefeit. Um jedoch die Wahrscheinlichkeit zu minimieren, dass ein Authentifizierungsfehler in Ihre Anwendung eingeschleust wird, sollte MFA-Implementierung an einen Anbieter delegiert werden, der hierauf spezialisiert ist (wie beispielsweise Okta).
Eine verlässliche Authentifizierung ist immer nur eine Ebene der Sicherheit. Es ist von entscheidender Bedeutung, einen umfassenden Verteidigungsansatz zu verfolgen, der den Fall des Eindringens in die eigenen Systeme miteinschließt und entsprechende Abwehrmaßnahmen bereithält. Dies ist auch angesichts von Insider-Bedrohungen ratsam.
Die Sicherheit ist immer nur so stark wie das schwächste Glied. Entsprechend sollte neben MFA wo immer möglich auch SSO verwendet und auf strenge Passwortrichtlinien geachtet werden. Auch leicht zu ermittelnde Antworten auf Sicherheitsfragen (etwa „Wie lautet der Mädchenname Ihrer Mutter?“) sind zu vermeiden. Schließlich sollte es zur Routine gehören, kontinuierlich Websites wie HaveIBeenPwnd auf verletzte Konten im Zusammenhang mit der Unternehmensdomäne zu checken.