Investigadores eluden las cuentas de cajas de protección de autenticación MFA

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores de seguridad cibernética han revelado detalles de un error ahora corregido en el mecanismo de autenticación multifactor (MFA) de Box que podría abusarse para eludir por completo la verificación de inicio de sesión basada en SMS.

"Usando esta técnica, un atacante podría usar credenciales robadas para comprometer la cuenta de Box de una organización y filtrar datos confidenciales sin acceso al teléfono de la víctima", dijeron los investigadores de Varonis.

La compañía de ciberseguridad dijo que informó el problema al proveedor de servicios en la nube el 2 de noviembre de 2021, y Box emitió las correcciones.

MFA es un método de autenticación que se basa en una combinación de factores como una contraseña (algo que solo el usuario conoce) y una contraseña temporal de un solo uso, también conocida como TOTP (algo que solo el usuario tiene) para proporcionar a los usuarios una segunda capa de defensa contra el relleno de credenciales y otros ataques de apropiación de cuentas.

Esta autenticación de dos pasos puede implicar el envío del código como un SMS o, alternativamente, acceder a través de una aplicación de autenticación o una clave de seguridad de hardware. Por lo tanto, cuando un usuario de Box que está inscrito para la verificación por SMS inicia sesión con un nombre de usuario y contraseña válidos, el servicio establece una cookie de sesión y redirige al usuario a una página donde se puede ingresar el TOTP para obtener acceso a la cuenta.

El bypass identificado por Varonis es una consecuencia de lo que los investigadores llamaron una confusión de modos MFA. Ocurre cuando un atacante inicia sesión con las credenciales de la víctima y abandona la autenticación basada en SMS en favor de un proceso diferente que usa, por ejemplo, la aplicación de autenticación para completar con éxito el inicio de sesión simplemente proporcionando el TOTP asociado con su propia cuenta de Box.

"Box pasa por alto que la víctima no se ha inscrito [en] una aplicación de autenticación y, en cambio, acepta ciegamente una contraseña de autenticación válida de una cuenta totalmente diferente sin verificar primero que pertenecía al usuario que estaba iniciando sesión", dijeron los investigadores. "Esto hizo posible acceder a la cuenta de Box de la víctima sin acceder a su teléfono o notificar al usuario por SMS".

Dicho de otra manera, Box no solo no verificó si la víctima estaba inscrita en una verificación basada en una aplicación de autenticación (o cualquier otro método que impida los SMS), sino que tampoco validó que el código ingresado sea de una aplicación de autenticación que en realidad está vinculada a la víctima que está intentando iniciar sesión.

Los hallazgos llegan poco más de un mes después de que Varonis revelara una técnica similar que podría permitir a los actores maliciosos eludir la verificación basada en autenticadores "dando de baja a un usuario de MFA después de proporcionar un nombre de usuario y una contraseña, pero antes de proporcionar el segundo factor".

"El punto final /mfa/unenrollment no requería que el usuario estuviera completamente autenticado para eliminar un dispositivo TOTP de la cuenta de un usuario", señalaron los investigadores a principios de diciembre de 2021.

"MFA es tan bueno como el desarrollador que escribe el código [y] puede proporcionar una falsa sensación de seguridad", concluyeron los investigadores. "El hecho de que MFA esté habilitado no significa necesariamente que un atacante deba obtener acceso físico al dispositivo de una víctima para comprometer su cuenta".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta