Les chercheurs en cybersécurité ont révélé les détails d’un bogue désormais corrigé dans le mécanisme d’authentification multifacteur (MFA) de Box qui pourrait être utilisé à mauvais escient pour contourner complètement la vérification de connexion par SMS.
« En utilisant cette technique, un attaquant pourrait utiliser des informations d’identification volées pour compromettre le compte Box d’une organisation et exfiltrer des données sensibles sans accéder au téléphone de la victime », ont déclaré les chercheurs de Varonis. mentionné dans un rapport partagé avec The Hacker News.
Pour votre information, voici la déclaration que Box a partagée concernant cette affaire.
« Il s’agit d’un bug qui a été identifié et corrigé avant la publication de l’article de blog. Nous étudions l’impact de chaque bug qui nous est signalé et aucun impact sur les clients n’a été observé. Nous travaillons constamment avec la communauté de la sécurité et nos partenaires pour identifier et résoudre les problèmes potentiels. »
La société de cybersécurité a déclaré avoir signalé le problème au fournisseur de services cloud le 2 novembre 2021, après quoi les correctifs ont été publiés par Box.
MFA est une méthode d’authentification qui repose sur une combinaison de facteurs tels qu’un mot de passe (quelque chose que seul l’utilisateur connaît) et un mot de passe temporaire à usage unique appelé TOTP (quelque chose que seul l’utilisateur possède) pour fournir aux utilisateurs une deuxième couche de défense contre le credential stuffing et d’autres attaques de prise de contrôle de compte.
Cette authentification en deux étapes peut impliquer soit l’envoi du code sous forme de SMS, soit l’accès via une application d’authentification ou une clé de sécurité matérielle. Ainsi, lorsqu’un utilisateur Box inscrit à la vérification par SMS se connecte avec un nom d’utilisateur et un mot de passe valides, le service définit un cookie de session et redirige l’utilisateur vers une page où le TOTP peut être saisi pour accéder au compte.
Le contournement identifié par Varonis est une conséquence de ce que les chercheurs ont appelé un mélange de modes MFA. Cela se produit lorsqu’un attaquant se connecte avec les informations d’identification de la victime et abandonne l’authentification par SMS au profit d’un processus différent qui utilise, par exemple, l’application d’authentification pour réussir la connexion en fournissant simplement le TOTP associé à son propre compte Box.
« Box rate que la victime ne s’est pas inscrite [in] une application d’authentification, et accepte à la place aveuglément un code d’authentification valide d’un compte totalement différent sans d’abord vérifier qu’il appartenait à l’utilisateur qui se connectait », ont déclaré les chercheurs. « Cela a permis d’accéder au compte Box de la victime sans accéder à son téléphone ou avertir l’utilisateur par SMS. »
En d’autres termes, Box n’a pas seulement vérifié si la victime était inscrite à une vérification basée sur une application d’authentification (ou toute autre méthode interdisant les SMS), il n’a pas non plus validé que le code saisi provient d’une application d’authentification qui est réellement liée à la victime qui tente de se connecter.
Les découvertes arrivent un peu plus d’un mois après Varonis divulgué une technique similaire qui pourrait permettre à des acteurs malveillants de contourner la vérification basée sur l’authentificateur en « désinscrivant[ing] un utilisateur de MFA après avoir fourni un nom d’utilisateur et un mot de passe mais avant de fournir le deuxième facteur. »
« Le point de terminaison /mfa/unenrollment n’exigeait pas que l’utilisateur soit entièrement authentifié pour supprimer un appareil TOTP du compte d’un utilisateur », ont noté les chercheurs début décembre 2021.
« MFA est seulement aussi bon que le développeur écrivant le code [and] peut fournir un faux sentiment de sécurité », ont conclu les chercheurs. « Ce n’est pas parce que la MFA est activée qu’un attaquant doit nécessairement accéder physiquement à l’appareil d’une victime pour compromettre son compte.
