La société de gestion de cloud Box a décidé de corriger une faille dans son authentification multifacteur (MFA) basée sur SMS, quelques semaines seulement après que son MFA basé sur un mot de passe temporaire à usage unique (TOTP) ait également été découvert comme présentant des vulnérabilités.

Dans un article de blog technique Aujourd’hui (18 janvier), Varonis Threat Labs a expliqué comment la technique pourrait permettre à un attaquant d’utiliser des informations d’identification volées pour compromettre le compte Box d’une organisation et exfiltrer des données sensibles sans accéder au téléphone de la victime.

« Une fois connue, la vulnérabilité est extrêmement facile à exploiter pour un attaquant non averti », a déclaré Or Emanuel, responsable de Varonis Threat Labs. La gorgée quotidienne.

« Les attaquants pourraient compromettre n’importe quel utilisateur de Box simplement en connaissant ou en devinant leur nom d’utilisateur et leur mot de passe, ce qui rendrait la MFA inutile. »

2FA par SMS

Box, ainsi que de nombreuses autres applications, permet aux utilisateurs sans authentification unique (SSO) d’utiliser un code secret à usage unique envoyé par SMS comme deuxième étape de l’authentification.

Lorsqu’un nom d’utilisateur et un mot de passe sont enregistrés dans le formulaire de connexion de Box, Box définit un cookie de session et redirige l’utilisateur pour qu’il entre soit un mot de passe temporaire à usage unique à utiliser avec une application d’authentification, soit un code SMS pouvant être utilisé pour accéder à son Compte Box.com.

Cependant, si l’utilisateur ne accède pas au formulaire de vérification par SMS, aucun message SMS ne sera envoyé, mais un cookie de session est toujours généré – et un acteur malveillant en possession de l’e-mail et du mot de passe de l’utilisateur n’a qu’à les saisir pour obtenir un cookie de session valide. Aucun code SMS n’est requis.

Une fois le cookie généré, l’attaquant peut abandonner le processus MFA basé sur SMS et lancer à la place le processus basé sur TOTP, en publiant un ID de facteur et un code à partir de son propre compte Box et de l’application d’authentification sur le point de terminaison de vérification TOTP à l’aide du cookie de session.

Box n’a pas vérifié si la victime était inscrite à la vérification TOTP, ni validé que l’application d’authentification utilisée appartenait à l’utilisateur qui se connectait.

Divulgation coordonnée

Emanuel dit que la divulgation a été faite via HackerOne, et que Box n’a pas tardé à répondre.

Le rapport fait suite à la découverte de Varonis à la fin de l’année dernière que Le MFA basé sur TOTP de Box était également vulnérable à l’exploitation.

Pour se connecter, les utilisateurs doivent saisir leur adresse e-mail et leur mot de passe, suivis d’un mot de passe à usage unique depuis leur application d’authentification. Cependant, Varonis a constaté que l’utilisateur n’avait pas besoin d’être entièrement authentifié pour supprimer un appareil TOTP du compte d’un utilisateur.

Cela a permis aux chercheurs de désinscrire avec succès un utilisateur de MFA après avoir fourni un nom d’utilisateur et un mot de passe, mais avant de fournir le deuxième facteur. Ils pourraient alors se connecter sans aucune exigence MFA et obtenir un accès complet au compte Box de l’utilisateur.

Emanuel dit que l’équipe teste d’autres implémentations MFA.

« Nous pensons qu’il est extrêmement répandu, car il existe d’innombrables applications SaaS, dont la plupart ont leur propre implémentation de MFA. Plus nous cherchons, plus nous trouvons de défauts », dit-il.

« Il existe également de nombreux points de défaillance, et pas seulement le code MFA du fournisseur. Par exemple, il existe de nombreuses façons d’intercepter les messages SMS via des techniques telles que le détournement de la carte SIM et la fraude au transfert. Les applications d’authentification peuvent avoir des bogues. Il existe également des portes dérobées dans les applications SaaS qui contournent complètement le processus de connexion, par exemple le détournement de session. »