Multi-Faktor-Authentifizierung: Angreifer nutzen Schwachstellen bei Box

Das Forschungsteam von Varonis entdeckte jetzt eine Möglichkeit, die Multi-Faktor-Authentifizierung durch eine klassische Ein-Faktor-Authentifizierung für Box-Konten zu ersetzen, die Authentifizierungs-Apps wie Google Authenticator verwenden. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne ein Einmal-Passwort verwenden zu müssen.

Die Sicherheitsforscher haben Box diese Schwachstelle am 3. November über HackerOne gemeldet, woraufhin sie geschlossen wurde. Diese Sicherheitslücke verdeutlicht, dass Cloud-Security auch beim Einsatz von scheinbar sicheren Technologien niemals als selbstverständlich anzusehen ist. So haben die Sicherheitsforscher von Varonis zwei weitere MFA-Umgehungen in weit verbreiteten SaaS-Anwendungen entdeckt, die sie nach ihrer Behebung veröffentlichen.

Box führte TOTP-basierte Authentifizierungs-Apps ein

Im Januar 2021 führte Box die Möglichkeit für Konten ein, Authentifizierungs-Apps wie Google Authenticator, Okta Verify, Authy oder Duo zu verwenden, die auf TOTP (Time-based One-Time Password) basieren. Dabei empfiehlt Box zeitbasierte Einmalpasswörter gegenüber SMS-basierter Authentifizierung aus naheliegenden Gründen. Denn SMS-Nachrichten können durch SIM-Swapping, Port-Out-Betrug und andere Techniken gekapert werden. Authentifizierungs-Apps, die den TOTP-Algorithmus (zeitbasiertes Einmal-Passwort) verwenden, sind nicht nur einfacher für den Anwender, sondern auch wesentlich sicherer als SMS.

Funktionsweise der Multi-Faktor-Authentifizierung bei Box

Wenn ein Benutzer eine Authentifizierungs-App zu seinem Box-Konto hinzufügt, wird der App im Hintergrund eine Faktor-ID zugewiesen. Jedes Mal, wenn der Benutzer versucht, sich anzumelden, fordert Box den Benutzer zur Eingabe seiner E-Mail und seines Passworts auf, gefolgt von einem Einmalpasswort von seiner Authentifizierungs-App. Wenn der Benutzer den zweiten Faktor nicht angibt, kann er nicht auf die Dateien und Ordner in seinem Box-Konto zugreifen. Dies bietet eine zweite Verteidigungslinie für den Fall, dass ein Benutzer ein schwaches (oder geleaktes) Passwort hat.

Funktionsweise der Multi-Faktor-Authentifizierung bei Box

Wenn ein Benutzer eine Authentifizierungs-App zu seinem Box-Konto hinzufügt, wird der App im Hintergrund eine Faktor-ID zugewiesen. Jedes Mal, wenn der Benutzer versucht, sich anzumelden, fordert Box den Benutzer zur Eingabe seiner E-Mail und seines Passworts auf, gefolgt von einem Einmalpasswort von seiner Authentifizierungs-App. Wenn der Benutzer den zweiten Faktor nicht angibt, kann er nicht auf die Dateien und Ordner in seinem Box-Konto zugreifen. Dies bietet eine zweite Verteidigungslinie für den Fall, dass ein Benutzer ein schwaches (oder geleaktes) Passwort hat.

Wo liegt die Schwachstelle der Multi-Faktor-Authentifizierung

Die Experten bei Varonis haben festgestellt, dass der Endpoint /mfa/unenrollment keine vollständige Authentifizierung des Benutzers erfordert, um ein TOTP-basiertes Gerät aus einem Benutzerkonto zu entfernen. Infolgedessen konnte man einen Benutzer erfolgreich von MFA abmelden, nachdem er einen Benutzernamen und ein Passwort und bevor er den zweiten Faktor angegeben hatte.

Nach dieser Deaktivierung war es möglich, sich ohne MFA anzumelden und vollen Zugriff auf das Box-Konto des Benutzers einschließlich aller Dateien und Ordner zu erhalten. Auf diese Weise konnten Angereifer auch durch MFA gesicherte Box-Benutzerkonnten durch Credential Stuffing, Brute Force oder mittels gephishter Anmeldedaten kompromittieren.

Der Angriff auf ein Box-Account läuft folgendermaßen ab:

• Der Angreifer gibt die E-Mail-Adresse und das Passwort eines Benutzers auf account.box.com/login ein.
• Wenn das Kennwort korrekt ist, erhält der Browser des Angreifers ein neues Authentifizierungs-Cookie, das den Zugriff auf eine begrenzte Anzahl von Endpunkten gewährt, darunter /mfa/unenrollment.
• Anstatt ein gültiges Einmalpasswort von einer Authentifizierungsanwendung an den Endpoint /mfa/verification zu übermitteln, postet der Angreifer die Faktor-ID des Geräts an /mfa/unenrollment und hebt die Registrierung des Geräts/der Benutzerkonto-Kombination von der TOTP-basierten MFA erfolgreich auf.
• Der Angreifer kann sich nun erneut anmelden (jetzt genügt die Ein-Faktor-Authentifizierung) und erhält vollen Zugriff auf das Benutzerkonto und dessen Daten.

Erkenntnisse aus dem Angriff auf Box

Multi-Faktor-Authentifizierung ist ein wichtiger Schritt in Richtung eines sichereren Internets und einer zuverlässigeren Authentifizierung für SaaS-Anwendungen. Gleichwohl ist MFA nicht perfekt, insbesondere wenn es zu Fehlern bei der Implementierung kommt. Kein Unternehmen ist vor Bugs und Schwachstellen gefeit. Um jedoch die Wahrscheinlichkeit zu minimieren, dass ein Authentifizierungsfehler in Ihre Anwendung eingeschleust wird, sollte MFA-Implementierung an einen Anbieter delegiert werden, der hierauf spezialisiert ist, wie Okta.

Eine verlässliche Authentifizierung ist immer nur eine Ebene der Sicherheit. Es ist von entscheidender Bedeutung, einen umfassenden Verteidigungsansatz zu verfolgen. Dieser sollte den Fall des Eindringens in die eigenen Systeme einschließen und entsprechende Abwehrmaßnahmen bereithalten. Dies ist auch angesichts von Insider-Bedrohungen ratsam. Die Sicherheit ist immer nur so stark wie das schwächste Glied. Entsprechend sollte neben MFA wo immer möglich auch SSO verwendet und auf strenge Passwortrichtlinien geachtet werden. Auch leicht zu ermittelnde Antworten auf Sicherheitsfragen (etwa „Wie lautet der Mädchenname Ihrer Mutter?“) sind zu vermeiden. Schließlich sollte es zur Routine gehören, kontinuierlich Websites wie HaveIBeenPwnd auf verletzte Konten im Zusammenhang mit der Authentifizierungs-Apps zu überprüfen.

Lesen Sie auch: Ransomware-Angriff: 6 Tipps, wie Unternehmen das verhindern können