WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Qua mặt tài khoản bảo vệ xác thực đa yếu tố dựa trên SMS
Các nhà nghiên cứu tiết lộ chi tiết về lỗi hiện đã được vá trong cơ chế xác thực đa yếu tố (MFA) của Box có thể bị lạm dụng để bỏ qua xác minh đăng nhập dựa trên SMS.
Các nhà nghiên cứu của Varonis cho biết trong một báo cáo "Sử dụng kỹ thuật này, kẻ tấn công có thể sử dụng thông tin đăng nhập bị đánh cắp để xâm nhập tài khoản Box của tổ chức và lấy cắp dữ liệu nhạy cảm mà không cần quyền truy cập vào điện thoại của nạn nhân".
Hãng cho biết đã báo cáo vấn đề với nhà cung cấp dịch vụ ngày 2 tháng 11 năm 2021, sau đó Box đã phát hành các bản sửa lỗi.
Xác thực hai bước này có thể liên quan đến việc gửi mã dưới dạng SMS hoặc cách khác, được truy cập thông qua ứng dụng xác thực hoặc khóa bảo mật phần cứng. Do đó, khi người dùng Box đã đăng ký xác minh qua SMS đăng nhập bằng tên người dùng và mật khẩu hợp lệ, dịch vụ sẽ đặt cookie phiên và chuyển hướng người dùng đến trang mà TOTP có thể được nhập để có quyền truy cập vào tài khoản.
Việc bỏ qua được Varonis xác định là hệ quả của cái mà các nhà nghiên cứu gọi là sự kết hợp các chế độ MFA. Nó xảy ra khi kẻ tấn công đăng nhập bằng thông tin đăng nhập của nạn nhân và từ bỏ xác thực dựa trên SMS để chuyển sang một quy trình khác sử dụng ứng dụng xác thực để hoàn tất đăng nhập thành công chỉ bằng cách cung cấp TOTP được liên kết với tài khoản Box của chính họ.
Các phát hiện được đưa ra hơn một tháng sau khi Varonis tiết lộ một kỹ thuật tương tự có thể cho phép các kẻ xấu xâm nhập xác minh dựa trên trình xác thực bằng cách "hủy đăng ký [ing] người dùng khỏi MFA sau khi cung cấp tên người dùng và mật khẩu nhưng trước khi cung cấp yếu tố thứ hai".
Các nhà nghiên cứu lưu ý vào đầu tháng 12 năm 2021: "Điểm cuối / mfa / unnrollment không yêu cầu người dùng phải được xác thực hoàn toàn để xóa thiết bị TOTP khỏi tài khoản của người dùng".
Các nhà nghiên cứu của Varonis cho biết trong một báo cáo "Sử dụng kỹ thuật này, kẻ tấn công có thể sử dụng thông tin đăng nhập bị đánh cắp để xâm nhập tài khoản Box của tổ chức và lấy cắp dữ liệu nhạy cảm mà không cần quyền truy cập vào điện thoại của nạn nhân".
Xác thực hai bước này có thể liên quan đến việc gửi mã dưới dạng SMS hoặc cách khác, được truy cập thông qua ứng dụng xác thực hoặc khóa bảo mật phần cứng. Do đó, khi người dùng Box đã đăng ký xác minh qua SMS đăng nhập bằng tên người dùng và mật khẩu hợp lệ, dịch vụ sẽ đặt cookie phiên và chuyển hướng người dùng đến trang mà TOTP có thể được nhập để có quyền truy cập vào tài khoản.
Việc bỏ qua được Varonis xác định là hệ quả của cái mà các nhà nghiên cứu gọi là sự kết hợp các chế độ MFA. Nó xảy ra khi kẻ tấn công đăng nhập bằng thông tin đăng nhập của nạn nhân và từ bỏ xác thực dựa trên SMS để chuyển sang một quy trình khác sử dụng ứng dụng xác thực để hoàn tất đăng nhập thành công chỉ bằng cách cung cấp TOTP được liên kết với tài khoản Box của chính họ.
Các phát hiện được đưa ra hơn một tháng sau khi Varonis tiết lộ một kỹ thuật tương tự có thể cho phép các kẻ xấu xâm nhập xác minh dựa trên trình xác thực bằng cách "hủy đăng ký [ing] người dùng khỏi MFA sau khi cung cấp tên người dùng và mật khẩu nhưng trước khi cung cấp yếu tố thứ hai".
Các nhà nghiên cứu lưu ý vào đầu tháng 12 năm 2021: "Điểm cuối / mfa / unnrollment không yêu cầu người dùng phải được xác thực hoàn toàn để xóa thiết bị TOTP khỏi tài khoản của người dùng".
Theo: The Hacker News