https://thehackernews.com/2022/01/researchers-bypass-sms-based-multi.html
サイバーセキュリティの研究者は、SMSベースのログイン検証を完全に回避するために悪用される可能性のあるBoxの多要素認証(MFA)メカニズムにパッチが適用されたバグの詳細を開示しました。
「この手法を使用すると、攻撃者は盗まれたクレデンシャルを使用して組織のBoxアカウントを侵害し、被害者の電話にアクセスせずに機密データを盗み出す可能性があります」と、Varonisの研究者はThe HackerNewsと共有したレポートで述べています。
これは、攻撃者が被害者の資格情報を使用してサインインし、SMSベースの認証を放棄して、たとえば認証システムアプリを使用して、自分のBoxアカウントに関連付けられたTOTPを提供するだけでログインを正常に完了する場合に発生します。
「ボックスは、被害者が認証システムアプリに登録していないことを見逃し、代わりに、ログインしていたユーザーのものであることを最初に確認せずに、まったく異なるアカウントからの有効な認証パスコードを盲目的に受け入れます」と研究者は述べています。
「これにより、被害者の電話にアクセスしたり、SMSでユーザーに通知したりすることなく、被害者のBoxアカウントにアクセスできるようになりました。」
調査結果は、Varonisが「ユーザー名とパスワードを提供した後、2番目の要素を提供する前に、MFAからユーザーを登録解除する」ことで、悪意のある攻撃者がオーセンティケーターベースの検証を回避できる同様の手法を開示してから1か月強になります。
研究者はSMSベースの多要素認証保護ボックスアカウントをバイパスします、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント