Обзор исполнительной среды
Исследовательская группа Varonis обнаружила способ обхода многофакторной аутентификации для учетных записей Box, которые используют такие аутентификационные приложения, как Google Authenticator.
Используя описанный ниже метод, злоумышленник может применить украденные учетные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальных данных без предоставления одноразового пароля.
Мы сообщили об этой проблеме Box в ноябре через HackerOne; позже Box выпустил обновление.
Факты
В январе 2021 года Box предоставил возможность использовать для учетных записей приложения аутентификации на основе TOTP: например, Google Authenticator, Okta Verify, Authy, Duo и др.
Box рекомендует TOTP вместо аутентификации на основе SMS по очевидным причинам: SMS-сообщения могут быть перехвачены путем подмены SIM-карты, мошенничества с переносом номера и других хорошо известных методов.
Приложения для аутентификации на основе алгоритма TOTP (одноразовый пароль с ограниченным временем действия) не только проще для конечного пользователя, но и гораздо безопаснее по сравнению с SMS-сообщениями. Но это не точно.
Как работает многофакторная аутентификация Box?
Когда пользователь добавляет приложение для аутентификации в свою учетную запись Box, ему присваивается идентификатор фактора. Каждый раз, когда этот пользователь пытается войти в систему, Box запрашивает у пользователя адрес электронной почты и пароль, а затем одноразовый пароль из аутентификационного приложения.
Если пользователь не предоставит второй фактор, он не сможет получить доступ к файлам и папкам в своей учетной записи Box. Это обеспечивает вторую линию защиты, в случае если у пользователя слабый (или скомпрометированный) пароль.
В чём проблема?
Наша команда обнаружила, что конечная точка /mfa/unenrollment не требует полной аутентификации пользователя для удаления устройства TOTP из учетной записи пользователя. В результате мы смогли успешно отменить регистрацию пользователя в рамках многофакторной аутентификации после предоставления имени пользователя и пароля, но до предоставления второго фактора.
После отмены регистрации мы смогли войти в систему без каких-либо требований MFA и получить полный доступ к учетной записи пользователя Box, включая все его файлы и папки. До исправления Box злоумышленники могли взломать учетные записи пользователей с помощью подстановки учетных данных, перебора паролей и т. д.
Посмотрите, как выглядит атака:
Этапы атаки
1. Злоумышленник вводит адрес электронной почты и пароль пользователя в строке account.box.com/login;
2. Если пароль правильный, браузеру злоумышленника отправляется новый cookie-файл аутентификации, который предоставляет доступ к ограниченному набору конечных точек, включая /mfa/unenrollment;
3. Вместо того, чтобы передавать действительный одноразовый пароль из приложения для аутентификации в конечную точку /mfa/verification, злоумышленник отправляет идентификатор фактора устройства в конечную точку /mfa/unenrollment и успешно отменяет регистрацию комбинации устройство/учетная запись пользователя в рамках многофакторной аутентификации на основе TOTP;
4. Теперь злоумышленник может снова войти в систему, используя однофакторную аутентификацию, и получить полный доступ к учетной записи пользователя и его данным.
Выводы
MFA — это шаг к более безопасному интернету и более надежной аутентификации, однако MFA не идеальна. В последнее время наблюдается быстрый рост систем MFA на основе TOTP, но если в их реализации имеются огрехи, защиту можно обойти.
Никто не застрахован от ошибок и слабых мест, но чтобы свести к минимуму вероятность появления уязвимостей аутентификации в вашем приложении, настоятельно рекомендуется делегировать реализацию MFA поставщику, который специализируется на аутентификации (например, Okta).
Приведенный выше пример — это только один способ обхода для одной платформы SaaS. Существует еще много других, и некоторые из них мы вскоре опубликуем. Надежная аутентификация — это всего лишь один уровень защиты. Крайне важно использовать комплексную защиту от взлома, особенно если вы обеспокоены внутренними угрозами.
Степень вашей безопасности определяется самым слабым звеном. Где это возможно, в дополнение к MFA используйте SSO, применяйте политики надежных паролей, отслеживайте сайты наподобие HaveIBeenPwnd на предмет взломанных учетных записей, связанных с вашим доменом, и избегайте использования простых ответов («Какая девичья фамилия вашей матери?») в рамках аутентификации.
