Investigadores de ciberseguridad han revelado detalles de un fallo ya corregido en el mecanismo de autenticación multifactor (MFA) de Box que podría ser abusado para eludir completamente la verificación de inicio de sesión basada en SMS.
"Utilizando esta técnica, un atacante podría utilizar las credenciales robadas para comprometer la cuenta de Box de una organización y extraer datos sensibles sin acceder al teléfono de la víctima", señalan los investigadores de Varonis en un informe compartido con The Hacker News.
La empresa de ciberseguridad dijo que informó del problema al proveedor de servicios en la nube el 2 de noviembre de 2021, después de lo cual Box emitió correcciones.
La MFA es un método de autenticación que se basa en una combinación de factores como una contraseña (algo que sólo el usuario conoce) y una contraseña temporal de un solo uso, también conocida como TOTP (algo que sólo el usuario tiene) para proporcionar a los usuarios una segunda capa de defensa contra el relleno de credenciales y otros ataques de toma de posesión de cuentas.
Esta autenticación en dos pasos puede implicar el envío del código en forma de SMS o, alternativamente, el acceso a través de una aplicación de autenticación o una llave de seguridad de hardware. Así, cuando un usuario de Box inscrito en la verificación por SMS se conecta con un nombre de usuario y una contraseña válidos, el servicio establece una cookie de sesión y redirige al usuario a una página en la que puede introducir el TOTP para acceder a la cuenta.
El bypass identificado por Varonis es consecuencia de lo que los investigadores denominan una mezcla de modos de MFA. Se produce cuando un atacante se registra con las credenciales de la víctima y abandona la autenticación basada en SMS en favor de un proceso diferente que utiliza, por ejemplo, la aplicación de autenticación para completar con éxito el inicio de sesión simplemente proporcionando el TOTP asociado a su propia cuenta de Box.
"Box pasa por alto que la víctima no se ha inscrito [en] una app de autenticación, y en su lugar acepta ciegamente un código de acceso de autenticación válido de una cuenta totalmente diferente sin comprobar primero que pertenecía al usuario que estaba iniciando la sesión", dijeron los investigadores. "Esto permitió acceder a la cuenta de Box de la víctima sin acceder a su teléfono ni avisar al usuario por SMS".
Dicho de otro modo, Box no sólo no comprobó si la víctima estaba inscrita en una verificación basada en una aplicación de autenticación (o en cualquier otro método que no fuera un SMS), sino que tampoco validó que el código introducido procediera de una aplicación de autenticación que estuviera realmente vinculada a la víctima que intentaba iniciar la sesión.
Los hallazgos se producen poco más de un mes después de que Varonis revelara una técnica similar que podría permitir a los atacantes eludir la verificación basada en el autentificador "desinscribiendo a un usuario de MFA después de proporcionar un nombre de usuario y una contraseña pero antes de proporcionar el segundo factor".
"El endpoint /mfa/unenrollment no requería que el usuario estuviera completamente autenticado para eliminar un dispositivo TOTP de la cuenta de un usuario", señalaron los investigadores a principios de diciembre de 2021.
"MFA es tan bueno como el desarrollador que escribe el código [y] puede proporcionar una falsa sensación de seguridad", concluyeron los investigadores. "El hecho de que MFA esté habilitado no significa necesariamente que un atacante deba obtener acceso físico al dispositivo de la víctima para comprometer su cuenta".
Fuente: https://thehackernews.com/2022/01/researchers-bypass-sms-based-multi.html