Peneliti Bypass Akun Kotak Perlindungan Otentikasi Multi-Faktor Berbasis SMS

  • Whatsapp
Multi-Factor Authentication
Peneliti Bypass Akun Kotak Perlindungan Otentikasi Multi Faktor Berbasis SMS

News.nextcloud.asia –

Otentikasi Multi-Faktor

Peneliti keamanan siber telah mengungkapkan rincian bug yang sekarang ditambal dalam mekanisme otentikasi multi-faktor (MFA) Box yang dapat disalahgunakan untuk sepenuhnya menghindari verifikasi login berbasis SMS.

“Dengan menggunakan teknik ini, penyerang dapat menggunakan kredensial curian untuk menyusup ke akun Box organisasi dan mengekstrak data sensitif tanpa akses ke ponsel korban,” peneliti Varonis dikatakan dalam laporan yang dibagikan kepada The Hacker News.

Perusahaan keamanan siber mengatakan telah melaporkan masalah tersebut ke penyedia layanan cloud pada 2 November 2021, setelah perbaikan yang dikeluarkan oleh Box.

Pencadangan GitHub Otomatis

MFA adalah metode otentikasi yang bergantung pada kombinasi faktor-faktor seperti kata sandi (sesuatu yang hanya diketahui pengguna) dan kata sandi satu kali sementara alias TOTP (sesuatu yang hanya dimiliki pengguna) untuk memberi pengguna lapisan pertahanan kedua terhadap isian kredensial dan serangan pengambilalihan akun lainnya.

Otentikasi dua langkah ini dapat melibatkan pengiriman kode sebagai SMS atau sebagai alternatif, diakses melalui aplikasi autentikator atau kunci keamanan perangkat keras. Jadi, ketika pengguna Box yang terdaftar untuk verifikasi SMS masuk dengan nama pengguna dan kata sandi yang valid, layanan menetapkan cookie sesi dan mengarahkan pengguna ke halaman di mana TOTP dapat dimasukkan untuk mendapatkan akses ke akun.

Bypass yang diidentifikasi oleh Varonis adalah konsekuensi dari apa yang disebut para peneliti sebagai campuran mode MFA. Itu terjadi ketika penyerang masuk dengan kredensial korban dan mengabaikan otentikasi berbasis SMS demi proses berbeda yang menggunakan, katakanlah, aplikasi autentikator untuk berhasil menyelesaikan login hanya dengan memberikan TOTP yang terkait dengan akun Box mereka sendiri.

“Box merindukan korban yang belum mendaftar [in] aplikasi autentikator, dan sebagai gantinya secara membabi buta menerima kode sandi otentikasi yang valid dari akun yang sama sekali berbeda tanpa terlebih dahulu memeriksa apakah itu milik pengguna yang masuk,” kata para peneliti. “Ini memungkinkan untuk mengakses akun Kotak korban tanpa mengakses akun mereka. telepon atau memberi tahu pengguna melalui SMS.”

Dengan kata lain, Box tidak hanya tidak memeriksa apakah korban terdaftar dalam verifikasi berbasis aplikasi autentikator (atau metode lain yang melarang SMS), tetapi juga tidak memvalidasi bahwa kode yang dimasukkan berasal dari aplikasi autentikator yang benar-benar ditautkan ke korban. yang mencoba masuk.

Mencegah Pelanggaran Data

Temuan itu muncul lebih dari sebulan setelah Varonis diungkapkan teknik serupa yang dapat memungkinkan pelaku jahat untuk menghindari verifikasi berbasis autentikator dengan “membatalkan pendaftaran[ing] pengguna dari MFA setelah memberikan nama pengguna dan kata sandi tetapi sebelum memberikan faktor kedua.”

“Endpoint /mfa/unenrollment tidak mengharuskan pengguna untuk sepenuhnya diautentikasi untuk menghapus perangkat TOTP dari akun pengguna,” catat para peneliti pada awal Desember 2021.

“MFA hanya sebaik pengembang yang menulis kode [and] dapat memberikan rasa aman yang salah,” para peneliti menyimpulkan. “Hanya karena MFA diaktifkan tidak berarti penyerang harus mendapatkan akses fisik ke perangkat korban untuk menyusupi akun mereka.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.