Die Sicherheitsforscher von Varonis haben eine Möglichkeit entdeckt, die Multi-Faktor-Authentifizierung (MFA) per SMS für Box-Konten zu umgehen. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne dabei auf das Telefon des Opfers zugreifen zu müssen. Die Sicherheitsforscher haben Box diese Schwachstelle am 3. November 2021 über HackerOne gemeldet, woraufhin sie geschlossen wurde. Erst im letzten Monat zeigten die Varonis Thread Labs, wie die TOTP-basierte MFA von Box umgangen werden konnte.
Wie die meisten Applikationen ermöglicht Box Nutzern ohne Single Sign-On (SSO) die Verwendung einer Authentifizierungs-App (wie Okta Verify oder Google Authenticator) oder einer SMS mit einem einmaligen Sicherheitscode als zweiten Schritt der Authentifizierung. Nach der Eingabe eines Benutzernamens und eines Kennworts in das Anmeldeformular setzt Box ein Session Cookie und leitet den Benutzer entweder zu einem Formular zur Eingabe eines temporären Einmalpassworts (TOTP), wenn der Benutzer bei einer Authentifizierungs-App angemeldet ist, oder einem Formular zur Eingabe eines SMS-Codes, wenn sich der Benutzer für den Empfang eines Sicherheitscodes per SMS angemeldet hat.
Gefährliche Vermischung der MFA-Methoden
Auch wenn der Nutzer nicht zum SMS-Verifizierungsformular navigiert, wird ein Session Cookie erzeugt. Entsprechend müssen Angreifer nur die E-Mail-Adresse und das Kennwort des Benutzers eingeben, die sie bereits per Phishing erhalten oder im Dark Web erworben haben, um ein gültiges Session Cookie zu erhalten. Nachdem das Cookie generiert wurde, können die Angreifer das SMS-basierte MFA-Verfahren (bei dem der Benutzer angemeldet ist) abbrechen und stattdessen das TOTP-basierte MFA-Verfahren einleiten und so die MFA-Modi vermischen. Die Angreifer schließen den Authentifizierungsprozess ab, indem sie eine Faktor-ID und einen Code von ihrem eigenen Box-Konto und ihrer Authentifizierungs-App an den TOTP-Verifizierungsendpunkt senden. Dabei verwenden sie das Session Cookie, das sie durch die Angabe der Anmeldedaten des Opfers erhalten haben. Bis zur Schließung der Sicherheitslücke hat Box nicht überprüft, ob das Opfer zur TOTP-Verifizierung angemeldet war und ob die verwendete Authentifizierungs-App auch tatsächlich dem zugeodneten Benutzer gehörte, der sich anmelden möchte. Dadurch war es möglich, auf das Box-Konto des Benutzers zuzugreifen, ohne das Telefon des Opfers verwenden zu müssen oder es per SMS zu benachrichtigen.
Ablauf des Angriffs
- Der Angreifer meldet sich bei der Multi-Faktor-Authentifizierung mit einer Authentifizierungs-App an und speichert die Faktor-ID des Geräts.
- Der Angreifer gibt die E-Mail-Adresse und das Passwort des Opfers auf account.box.com/login ein.
- Wenn das Kennwort korrekt ist, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie und wird zu /2fa/verification weitergeleitet.
- Der Angreifer folgt jedoch nicht der Weiterleitung zum SMS-Verifizierungsformular, sondern postet seine eigene Faktor-ID und den Code von der Authenticator-App an den TOTP-Verifizierungsendpunkt /mfa/verification.
- Der Angreifer ist nun im Konto des Opfers angemeldet, das keine SMS-Nachricht erhält und so nichts bemerkt
Der Verlauf eines solchen Angriffs wird in diesem Video anschaulich dargestellt.
Erkenntnisse
MFA ist ein wichtiger Schritt in Richtung eines sichereren Internets und einer zuverlässigeren Authentifizierung für SaaS-Anwendungen. Gleichwohl kann MFA ein falsches Gefühl von Sicherheit vermitteln: Nur weil MFA aktiviert ist, bedeutet das nicht zwangsläufig, dass ein Angreifer physischen Zugriff auf das Gerät eines Opfers erhalten muss, um dessen Konto zu kompromittieren. Deshalb kann eine verlässliche Authentifizierung immer nur eine Ebene der Sicherheit sein. Entsprechend verdeutlicht auch diese Schwachstelle die Notwendigkeit eines datenzentrierten Ansatzes. „Sich nur auf den Perimeterschutz und eine starke Authentifizierung zu verlassen, ist grob fahrlässig“, erklärt Michael Scheffler, Country Manager DACH von Varonis Systems. „Sicherheitsverantwortliche sollten sich folgende Fragen stellen, um die Effektivität ihrer Sicherheitsstrategie zu überprüfen und gegebenenfalls nachzubessern: Kann ich erkennen, ob MFA für einen Benutzer in allen meinen SaaS-Anwendungen deaktiviert oder umgangen wurde? Auf wie viele Daten kann ein Angreifer zugreifen, wenn er ein normales Benutzerkonto kompromittiert? Erhalten nur die Benutzer Zugriff auf Dateien, die sie tatsächlich benötigen? Und sind wir in der Lage zu erkennen, wenn ein Benutzer auf ungewöhnliche Weise auf Daten zugreift?“
Weitere Informationen finden sich im entsprechenden Varonis Blog-Beitrag.
