Пресс-релизы //

Компания Varonis обнаружила новую уязвимость системы многофакторной аутентификации облачного сервиса Box

Компания Varonis Systems выявила новую уязвимость в системе многофакторной аутентификации (MFA) облачного хранилища Box, использующей дополнительную проверку пользователя при помощи sms-сообщений. Это уже второй способ обхода MFA в Box, обнаруженный за последнее время. Он может быть использован злоумышленниками для кражи и компрометации корпоративных данных. При этом даже не требуется доступ к телефону атакуемого сотрудника.

Большое количество организаций сегодня выбирают именно облачные хранилища. Так, по данным компании Box, ее сервис используют 97 тысяч предприятий, 68% из них входят в список Fortune 500. Для организации доступа к данным они могут воспользоваться MFA, реализуемой при помощи специальных приложений, таких как Okta Verify и Google Authenticator, или sms-сообщений.

Многофакторную аутентификацию, как дополнительный способ защиты пользовательских аккаунтов, используют многие поставщики облачных сервисов. Box, после ввода логина и пароля, предлагает выбрать один из способов прохождения второго этапа аутентификации: при помощи приложения с использованием технологии ТОТР, либо sms-сообщения. При этом сам код отправляется в sms-сообщении только тогда, когда пользователь переходит к форме проверки. В противном случае сообщение не отправляется, однако система аутентификации Box все равно формирует файл cookie, который может быть перехвачен злоумышленником, обладающим украденными адресом электронной почты и паролем.

Получив cookie, злоумышленник может перенаправить процесс MFA на форму, предусматривающую использование ТОТР. При этом система безопасности Box не проверяет, какой именно способ был выбран пользователем при регистрации и не отслеживает, принадлежит ли ему копия приложения, используемого для получения одноразового пароля. Это дает хакерам возможность получить доступ к учетной записи без использования телефона жертвы.

Алгоритм такой атаки можно представить следующим образом:
злоумышленник выбирает вход с помощью MFA через приложение-аутентификатор и сохраняет фактор аутентификации;
на странице account.box.com/login он вводит логин и пароль;
если комбинация окажется правильной, браузер отправляет новый файл cookie для аутентификации и перенаправляет сеанс на страницу /2fa/verification;
злоумышленник вместо перехода на форму проверки sms-кода передает свой собственный фактор аутентификатор и код из приложения, и получает доступ к данным аккаунта. Причем жертве sms-сообщение даже не отправляется.
«Многофакторная аутентификация пользователей сегодня рассматривается многими компаниями как панацея, предотвращающая угрозы безопасности данных. Достаточно вспомнить об обязательном использовании MFA в сервисах Salesforce и MicrosoftВ России, к примеру, перейти на использование MFA активно рекомендуют пользователям портала госуслуг. Однако, надежность такой системы во многом зависит от ее реализации. Многофакторная аутентификация может сформировать ложное ощущение безопасности, но ее использование вовсе не гарантирует, что данные надежно защищены», – говорит Даниэль Гутман, глава Varonis в России.

Специалисты Varonis считают, что использование MFA не исключает необходимости использования подхода, ориентированного на данные, в вопросах обеспечения безопасности информационных систем. В любом случае организации нужно контролировать как использование многофакторной аутентификации в своих сервисах, так и работу с самими данными.

Помимо этого, сотрудники, ответственные за информационную безопасность, должны знать:
к какому объему данных могут получить доступ злоумышленники при компрометации учетной записи;
не раскрываются ли данные компании чрезмерно широкому кругу пользователей и оповестит ли система безопасности администратора, если обнаружит аномальный доступ к ним.
Исследовательская группа компании Varonis ранее обнаружила способ обхода многофакторной аутентификации для учетных записей сервиса Box, использующих приложения-аутентификаторы, такие как Google Authenticator.

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 01:02, 20.01.2022 Количество просмотров: 358
Страна: Россия

ЕДИНЫЙ ЦУПИС и «Флант» стали лауреатами премии РБК Digital Awards, ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 02:19, 10.04.2024, Россия877

ЕДИНЫЙ ЦУПИС и российская ИТ-компания «Флант» получили премию Digital Awards РБК Петербург за первое внедрение в финтех-отрасли платформы Deckhouse Kubernetes Platform. В исследовании отмечено, что платформа соответствует высоким регуляторным требованиям по безопасности, устойчивости и импортонезависимости.

Следуй за новыми трендами! Российский бренд одежды SMENA проводит ребрендинг., SMENA, 02:18, 10.04.2024, Россия937
Бренд одежды для детей и подростков smena проводит перезагрузку, которая затрагивает обновление позиционирования, ребрендинг розничной сети и всех каналов коммуникации.

1С:Фастфуд. Фронт-офис прошел тестирование «Совместимо!», 1С-Рарус, 02:18, 10.04.2024, Россия880

Отраслевой продукт Центра разработки «1С-Рарус» прошел сертификацию «Совместимо! Система программ 1С:Предприятие». Сертификат получил 1С:Фастфуд. Фронт-офис, предназначенный для автоматизации процессов обслуживания гостей.

«Липецкэнерго»: инвестиции в развитие энергокомплекса – гарантия развития региональной экономики, ПАО "Россети Центр" - филиал "Липецкэнерго", 02:18, 10.04.2024, Россия883

«Липецкэнерго»: инвестиции в развитие энергокомплекса – гарантия развития региональной экономики

Компания IW Group объявляет о запуске платформы дистрибуции мобильных приложений IW Store, IW Group, 02:07, 10.04.2024, Россия95
Компания IW Group предоставила российским компаниям возможность управлять мобильными приложениями без рисков санкций и утечки данных

«БКС Мир инвестиций» выбирает продукты компании «Газинформсервис», Газинформсервис, 02:07, 10.04.2024, Россия102

«БКС Мир инвестиций», один из крупнейших финансовых холдингов России, заключил соглашение об интеграции программного продукта Efros Config Inspector, разработки компании «Газинформсервис», в свою IT-инфраструктуру.

«Системный софт» объявляет о получении серебряного статуса партнера SimpleOne, Сиссофт, 05:14, 09.04.2024, Россия172
Компания «Системный софт» объявляет о получении серебряного партнерского статуса компании SimpleOne. Он подтверждает высокую квалификацию команды «Системного софта» в продуктах SimpleOne и их внедрении.

БФТ-Холдинг расширил функциональность автоматизированной системы управления государственным и муниципальным имуществом Ленинградской области, БФТ-Холдинг, 05:13, 09.04.2024, Россия185
Завершен этап развития Автоматизированной информационной системы управления имуществом Ленинградской области (ГИС «АИС УИ ЛО»). Теперь в ней появились подсистемы «Личный кабинет арендатора» и «Публичный реестр».

Решения «Нетрики Медицины совместимы с операционной системой РЕД ОС, Нетрика, 05:13, 09.04.2024, Россия184
Цифровая интеграционная платформа «N3.Здравоохранение» и BI-платформа «N3.Аналитика» получили сертификаты совместимости с отечественной операционной системой РЕД ОС, сертифицированной ФСТЭК России.

Домклик перешел на безбумажный документооборот от HRlink, HRlink, 05:13, 09.04.2024, Россия183

Онлайн-сервис Домклик перевел кадровый документооборот в электронный формат с помощью программного решения от HRlink. Половина сотрудников перешла на кадровый ЭДО в первый же месяц проекта. Сейчас сервис используют более 1000 человек.

PRO32 составил рейтинг городов с повышенным диджитал-аппетитом, PRO32, 05:13, 09.04.2024, Россия172

В число лидеров рейтинга самых “голодных до IT” городов вошли Ростов-на-Дону, Краснодар и Самара. К такому выводу пришли эксперты PRO32, проанализировав интересы россиян и выяснив, жители каких городов-миллионников чаще всего ищут информацию про антивирусы, таск-трекеры, удаленный доступ и другие технологичные продукты.

КОМПАНИЯ LG ВНОВЬ ПОЛУЧИЛА ПРИЗНАНИЕ ЗА ВЫДАЮЩИЕСЯ ДОСТИЖЕНИЯ В ОБЛАСТИ ДИЗАЙНА НА RED DOT AWARDS, LG Electronics, 05:11, 09.04.2024, Россия182

Компания LG Electronics (LG) в этом году получила в общей сложности 28 наград на конкурсе Red Dot Award. Среди многочисленных номинаций - две награды "Лучший из лучших" за робота LG Clio ServeBot и духовые шкафы Signature Kitchen Suite серии Transitional.

Такском представил свои IT-решения по ЭПД на межрегиональных форумах в Воронеже, Такском, 05:10, 09.04.2024, Россия180

Компания «Такском» приняла участие в двух межрегиональных форумах, посвященных вопросам транспортно-логистической сферы и импортно-экспортной деятельности, которые состоялись в Воронеже

«ДиалогНаука» и Xello участвуют в CISO-Forum 2024, АО ДиалогНаука, 05:09, 09.04.2024, Россия199

Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Xello, разработчик первой российской платформы класса DDP, совместно участвуют в 17-ом Межотраслевом Форуме «CISO-Forum 2024». Мероприятие состоится 12 апреля 2024 года в Москве в технологическом кластере «Ломоносов».

Взаимное признание электронной подписи будет масштабироваться: 90 стран мира могут отказаться от бумажных документов и подключить трансграничный ЭДО, Газинформсервис, 05:08, 09.04.2024, Россия184

В рамках 11-го Азиатско-тихоокеанского форума по безбумажной торговле эксперт компании «Газинформсервис» Сергей Кирюшкин рассказал о перспективах развития безбумажной торговли в сегменте B2B.