收藏本站 网站导航 开放平台 Thursday, March 28, 2024 星期四
  • 微信

Box 云服务 MFA系统新漏洞被发现

来源 中金网 01-20 11:34
摘要: Varonis Systems 在 Box 云存储的多因素身份验证 (MFA) 系统中发现了一个新漏洞,该系统使用 SMS 消息进行额外的用户验证。这是最近在 Box 中发现的第二个 MFA 绕过。攻击者可以使用它来窃取和破坏公司数据。在这种情况下,甚至不需要访问受攻击员工的电话。
screenshot-20220120-113713.png

  Varonis Systems 在 Box 云存储的多因素身份验证 (MFA) 系统中发现了一个新漏洞,该系统使用 SMS 消息进行额外的用户验证。这是最近在 Box 中发现的第二个 MFA 绕过。攻击者可以使用它来窃取和破坏公司数据。在这种情况下,甚至不需要访问受攻击员工的电话。

  当今有大量组织选择云存储。因此,据 Box 称,它的服务被 9.7 万家企业使用,其中 68% 被列入财富 500 强名单。为了组织对数据的访问,他们可以使用 MFA,使用 Okta Verify 和 Google Authenticator 等特殊应用程序实现,或短信-消息。

  许多云服务提供商使用多因素身份验证作为保护用户帐户的另一种方式。Box,在输入登录名和密码后,提供选择通过第二阶段身份验证的方式之一:使用使用 TOTP 技术的应用程序,或 sms-messages。在这种情况下,只有当用户进入验证表单时,代码本身才会以 SMS 消息的形式发送。否则,消息不会发送,但 Box 身份验证系统仍会生成一个 cookie,该 cookie 可以被窃取的电子邮件地址和密码的攻击者拦截。

  给定 cookie,攻击者可以将 MFA 进程重定向到使用 TOTP 的表单。同时,Box 安全系统不会检查用户在注册期间选择了哪种特定方法,也不会跟踪他是否拥有用于获取一次性密码的应用程序副本。这使黑客能够在不使用受害者手机的情况下访问该帐户。

  这种攻击的算法可以表示如下:

  •   攻击者选择通过身份验证器应用程序使用 MFA 登录并存储身份验证因素;

  •   在 account.box.com/login 页面上,他输入了他的登录名和密码;

  •   如果组合正确,则浏览器发送新的身份验证 cookie 并将会话重定向到 /2fa/verification 页面;

  •   攻击者没有去短信验证表,而是从应用程序发送他自己的验证因子和代码,并获得对帐户数据的访问权限。此外,甚至不会向受害者发送 SMS 消息。

  “现在,许多公司将多因素用户身份验证视为防止数据安全威胁的灵丹妙药。更多区块链消息,请关注下载区块天眼APP,全球区块链监管查询APP 。回想一下在 Salesforce 和 Microsoft 服务中强制使用 MFA 就足够了。例如,在俄罗斯,积极建议公共服务门户的用户改用 MFA。然而,这种系统的可靠性很大程度上取决于其实施。多因素身份验证会产生虚假的安全感,但使用它并不能保证数据得到安全保护,”俄罗斯 Varonis 负责人 Daniel Gutman 说。

  Varonis 认为,使用 MFA 并不能消除对以数据为中心的方法来保护信息系统的需求。在任何情况下,组织都需要控制在其服务中使用多因素身份验证以及处理数据本身。

  此外,负责信息安全的员工应该知道:

  •   帐户被盗时,攻击者可以访问多少数据;

  •   公司数据是否暴露给范围过大的用户,以及安全系统是否会在检测到对他们的异常访问时通知管理员。

  Varonis 研究团队之前发现了一种使用 Google Authenticator 等身份验证器应用程序绕过 Box 服务帐户多因素身份验证的方法。

云计算
免责声明:中金网发布此信息目的在于传播更多信息,与本网站立场无关。中金网不保证该信息的准确性、真实性、完整性、有效性等。相关信息并未经过本网站证实,不构成任何投资建议,据此操作,风险自担。
相关新闻 更多

天眼深度| 加密货币 ETF 创下历史上最糟糕的首次亮相!

在上一个牛市周期高峰附近押注以加密货币为主题的 ETF 的投资者看到他们的资金在 2022 年化为乌有。

10-29 13:12

XRP处于疲软,但狗狗币却进一步上涨!

在市场上第二大加密货币显示近 20% 的复苏后,XRP 正在输给以太坊。

10-29 13:04

由于采矿业的潜在破产,比特币可能面临抛售压力!

比特币行业龙头Core Scientific可能在年底前申请破产,这让其他矿业公司也陷入困境。

10-29 12:50