Эксперты обошли MFA-защиту облачного сервиса The Box

Специалисты ИБ-компании Varonis раскрыли подробности уязвимости в механизме многофакторной аутентификации (MFA) облачного сервиса The Box, с помощью которой возможно обойти процесс SMS-верификации на платформе.

The Box — сервис, позволяющий хранить в облаке документы, изображения, видео, финансовые бумаги и отчеты, электронные таблицы и прочее.

Как пояснили исследователи, имея в наличии украденные учетные данные, атакующий может получить доступ к корпоративной учетной записи в Box и извлечь важные данные. При этом доступ к мобильному телефону жертвы не потребуется.

Сервис Box позволяет клиентам, не использующим технологию единого входа (Single Sign-On), защитить свои учетные записи с помощью приложения для аутентификации или двухфакторной аутентификации на основе SMS.

При авторизации в аккаунте платформа устанавливает сессионный cookie-файл и переадресовывает пользователя на форму, где необходимо ввести либо одноразовый пароль (TOTP), сгенерированный аутентификатором (MFA-верификация), либо код из SMS-сообщения (двухфакторная аутентификция).

Как обнаружили исследователи, Box допускает “путаницу MFA-режимов”, что позволяет обойти многофакторную аутентификацию на основе SMS. Проще говоря, при авторизации в учетной записи с включенной верификацией по SMS злоумышленник может инициировать MFA-аутентификацию по TOTP и указать одноразовый пароль из подконтрольного ему приложения-аутентификатора.

Уязвимость заключалась отсутствии проверки на предмет того, была ли включена MFA-защита на основе TOTP в аккаунте, в котором пытались авторизоваться, и действительно ли приложение-аутентификатор было с связано с данной учетной записью.

Эксперты сообщили облачному провайдеру о проблеме в ноябре 2021 года. Уязвимость уже исправлена.