Un agujero de seguridad en Box, el servicio de intercambio de archivos basado en la nube, allanó el camino para romper su autenticación multifactorial (MFA), dijeron los investigadores, y es la segunda omisión de MFA que han descubierto en el servicio hasta ahora.
Claramente, hay mucho en juego: obtener acceso a una cuenta de Box podría dar a los atacantes cibernéticos acceso a una amplia gama de documentos y datos confidenciales tanto para individuos como para organizaciones. La compañía reclama 97.000 empresas y el 68 por ciento de Fortune 500 como clientes.
Los investigadores de Varonis Threat Labs dijeron que el bypass funcionó en cuentas que usaban códigos SMS únicos para la verificación de autenticación de dos factores (2FA). En un exploit de prueba de concepto, pudieron lograr el bypass robando una cookie de sesión.
Con una mayor presión para adoptar y hacer cumplir la autenticación multifactor, muchos proveedores [de software como servicio] ahora ofrecen múltiples opciones de MFA para proporcionar a los usuarios una segunda línea de defensa contra el relleno de credenciales y otros ataques de contraseña. “Al igual que muchas aplicaciones, Box permite a los usuarios sin inicio de sesión único (SSO) o SMS con un código de acceso de un solo empleo como segundo paso en la autenticación”.
Cuando un usuario inicia sesión con sus credenciales, Box genera la cookie y se le pide al usuario que navegue a una página de revisión por SMS, donde se le indica a la persona que ingrese un código de acceso, enviado a un teléfono móvil inscrito.
Sin embargo, si el usuario no navega a la página de verificación, no se genera ningún código SMS, pero sí una cookie de sesión. Es en este punto que el error entró en juego. Un actor de amenazas malicioso que intentara iniciar sesión con credenciales robadas podría haber omitido ir a la página de comprobación de SMS y, en su lugar, podría haber iniciado la otra opción de MFA proporcionada por Box: usar una aplicación de autenticación, como Okta Verify o Google Authenticator.
Si los atacantes hubieran hecho esto, podrían haber ingresado a la cuenta de destino utilizando un ID de factor y un código de su propia cuenta de Box, la cookie de sesión recibida al proporcionar las credenciales de la víctima y su propia aplicación de autenticación, sin acceso físico a Se requiere el teléfono de la víctima.
“Box no verificó si la víctima estaba inscrita en la verificación TOTP [contraseña de un solo uso basada en el tiempo] y no validó que la aplicación de autenticación empleada perteneciera al usuario que estaba iniciando sesión”, explicaron los investigadores en un análisis de la vulnerabilidad el martes. Esto hizo posible acceder a la cuenta de Box de la víctima sin el teléfono de la víctima y sin notificar al usuario por SMS.
Nuestro experto de seguridad Franklin Ramírez menciona que es necesario crear conciencia a los proveedores de servicios para que hagan pruebas constantes sobre sus mecanismos de autenticación y sus factores de autenticación para hacerlos más robustos y evitar posibles ataques de 0 day. También recuerda sobre tener políticas de cambios de contraseña cada cierto tiempo para evitar que se empleen credenciales vistas en brechas de seguridad.