Araştırmacılar, Box Hesaplarını Koruyan SMS Tabanlı Çok Faktörlü Kimlik Doğrulamayı Atlıyor
Siber güvenlik araştırmacıları, Box'ın çok faktörlü kimlik doğrulama (MFA) mekanizmasında, SMS tabanlı oturum açma doğrulamasını tamamen ortadan kaldırmak için kötüye kullanılabilecek bir hatanın ayrıntılarını açıkladı.
Varonis araştırmacıları, The Hacker News ile paylaşılan bir raporda, "Bu tekniği kullanarak, bir saldırgan, bir kuruluşun Box hesabını tehlikeye atmak ve hassas verileri kurbanın telefonuna erişmeden sızdırmak için çalınan kimlik bilgilerini kullanabilir." dedi.
Siber güvenlik şirketi, sorunu 2 Kasım 2021'de bulut hizmeti sağlayıcısına bildirdiğini ve Box tarafından düzeltmelerin yayınlandığını söyledi.
MFA, kullanıcılara kimlik bilgilerinin doldurulmasına karşı ikinci bir savunma katmanı sağlamak için parola (yalnızca kullanıcının bildiği bir şey) ve geçici bir kerelik parola, yani TOTP (yalnızca kullanıcının sahip olduğu bir şey) gibi faktörlerin bir kombinasyonuna dayanan bir kimlik doğrulama yöntemidir. Ve diğer hesap ele geçirme saldırıları.
Bu iki aşamalı kimlik doğrulama, kodun SMS olarak gönderilmesini veya alternatif olarak, bir kimlik doğrulama uygulaması veya bir donanım güvenlik anahtarı aracılığıyla erişilmesini içerebilir. Böylece, SMS doğrulaması için kayıtlı bir Box kullanıcısı geçerli bir kullanıcı adı ve şifre ile giriş yaptığında, hizmet bir oturum çerezi kurar ve kullanıcıyı, hesaba erişim sağlamak için TOTP'nin girilebileceği bir sayfaya yönlendirir.
Varonis tarafından tanımlanan baypas, araştırmacıların MFA modlarının bir karışımı olarak adlandırdıkları şeyin bir sonucudur. Bir saldırgan, kurbanın kimlik bilgileriyle oturum açtığında ve SMS tabanlı kimlik doğrulamasını, örneğin, yalnızca kendi Box hesabıyla ilişkili TOTP'yi sağlayarak oturum açma işlemini başarıyla tamamlamak için kimlik doğrulayıcı uygulamasını kullanan farklı bir işlem lehine bıraktığında ortaya çıkar.
Araştırmacılar, "Box, kurbanın bir kimlik doğrulama uygulamasına kaydolmadığını özlüyor ve bunun yerine, giriş yapan kullanıcıya ait olup olmadığını kontrol etmeden, tamamen farklı bir hesaptan geçerli bir kimlik doğrulama şifresini körü körüne kabul ediyor" dedi. "Bu, kurbanın Box hesabına, telefonuna erişmeden veya kullanıcıyı SMS ile bilgilendirmeden erişmeyi mümkün kıldı."
Başka bir deyişle, Box yalnızca kurbanın kimlik doğrulama uygulaması tabanlı bir doğrulamaya (veya SMS'i engelleyen başka bir yönteme) kaydolup kaydolmadığını kontrol etmekle kalmadı, aynı zamanda girilen kodun aslında kurbanla bağlantılı bir kimlik doğrulama uygulamasından geldiğini doğrulamadı.
Bulgular, Varonis'in, kötü niyetli aktörlerin "bir kullanıcı adını ve şifreyi sağladıktan sonra ancak ikinci faktörü sağlamadan önce MFA'dan kaydını iptal ederek" kimlik doğrulayıcı tabanlı doğrulamayı aşmasını sağlayabilecek benzer bir tekniği açıklamasından bir aydan biraz daha uzun bir süre sonra geldi.
Araştırmacılar, Aralık 2021'in başlarında, "/mfa/kayıt iptali uç noktası, bir TOTP cihazını bir kullanıcının hesabından kaldırmak için kullanıcının kimliğinin tam olarak doğrulanmasını gerektirmiyordu" dedi.
Araştırmacılar, "MFA, yalnızca kodu yazan geliştirici kadar iyidir [ve] yanlış bir güvenlik duygusu sağlayabilir" dedi. "MFA'nın etkin olması, bir saldırganın hesabını tehlikeye atmak için kurbanın cihazına fiziksel erişim sağlaması gerektiği anlamına gelmez."
Kaynak: https://thehackernews.com/2022/01/researchers-bypass-sms-based-multi.html
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
