Badacze cyberbezpieczeństwa ujawnili szczegóły poprawionego już błędu w mechanizmie uwierzytelniania wieloskładnikowego (MFA). Błąd może zostać wykorzystany do całkowitego ominięcia weryfikacji logowania za pomocą SMS-ów. Sprawa dotyczy kont użytkowników na platformie Box.
„Korzystając z tej techniki, atakujący może użyć skradzionych danych uwierzytelniających, aby włamać się na konto Box organizacji i wykraść poufne dane bez dostępu do telefonu ofiary” – powiedzieli badacze Varonis w swoim raporcie.
Odkrywcy podatności poinformowali, że zgłosili ten problem dostawcy usług chmurowych już w 2021 roku i został on szybko naprawiony.
Warto jednak zapoznać się z tą luką i uświadomić sobie, że nic nie jest niezawodne.
Jak wiemy, MFA to metoda uwierzytelniania, która opiera się na kombinacji kilku składników takich jak hasło (coś, co zna tylko użytkownik) i tymczasowe hasło jednorazowe zwane TOTP (coś, co posiada tylko użytkownik), aby zapewnić drugą warstwę ochrony przed atakami typu brute-force czy kradzieżom poświadczeń oraz wszystkim innym atakom polegającym na przejęciu konta. Ten drugi etap uwierzytelnienia może polegać na wysłaniu kodu jako SMS lub alternatywnie dostępu za pośrednictwem aplikacji uwierzytelniającej lub sprzętowego klucza bezpieczeństwa.
W opisywanej metodzie, gdy użytkownik platformy Box, który jest przypisany do weryfikacji SMS-em, loguje się przy użyciu swojej nazwy użytkownika i hasła, usługa ustawia plik cookie sesji i przekierowuje użytkownika na stronę, na której można wprowadzić TOTP w celu uzyskania dostępu do konta.
Obejście zidentyfikowane przez Varonisa jest konsekwencją tego, co badacze nazwali mieszaniem trybów MFA (ang. mixup MFA mode). Dzieje się tak, gdy atakujący loguje się przy użyciu danych uwierzytelniających ofiary i porzuca uwierzytelnianie oparte na SMS-ach na rzecz innego procesu, który wykorzystuje, powiedzmy, aplikację uwierzytelniającą do pomyślnego zakończenia logowania, po prostu dostarczając TOTP powiązany z jego własnym kontem Box.
Box nie zauważa, że ofiara nie zarejestrowała się nawet w aplikacji uwierzytelniającej, a zamiast tego ślepo akceptuje ważny kod uwierzytelniający z zupełnie innego konta bez uprzedniego sprawdzenia, czy należy on do użytkownika, który się logował! Umożliwiło to dostęp do konta Box ofiary bez dostępu do telefonu lub powiadamiania użytkownika SMS-em.
Innymi słowy, Box nie tylko nie sprawdził, czy ofiara została zarejestrowana w aplikacji uwierzytelniającej (lub jakiejkolwiek innej metodzie wykluczającej SMS), ale także nie sprawdził, czy wprowadzony kod pochodzi z telefonu, który jest faktycznie połączony z kontem ofiary.
Na poniższym filmie zaprezentowano demo całego ataku:
Odkrycia pojawiły się nieco ponad miesiąc po tym, jak Varonis ujawnił podobną technikę, która może umożliwić złośliwym podmiotom obejście weryfikacji opartej na uwierzytelnianiu poprzez „wyrejestrowanie użytkownika z MFA po podaniu nazwy użytkownika i hasła, ale przed podaniem drugiego czynnika”. Link tutaj.
Całą sytuacje możemy podsumować słowami – metoda MFA jest tak dobra, jak programista pisząc jej kod. Nie warto bezgranicznie wierzyć w zabezpieczenia, bo może to zapewnić fałszywe poczucie bezpieczeństwa. Jak widać, zdarzają się przypadki obejścia MFA bez konieczności fizycznego lub nawet zdalnego dostępu do telefonu ofiary.