Box の SMS-based 多要素認証がバイパスされる:研究者たちが指摘する欠陥とは?

Researchers Bypass SMS-based Multi-Factor Authentication Protecting Box Accounts

2022/01/18 TheHackerNews — サイバー・セキュリティ研究者たちが、Box の多要素認証 (MFA) 機構に存在していた、パッチ適用済みのバグの詳細を公開した。Varonis の研究者たちは The Hacker News に対して「このバグを利用すると、攻撃者は盗んだ認証情報を使って組織の Box アカウントを侵害し、被害者の携帯電話にアクセスすることなく機密データを流出させることができる」と報告している。

Varonis によると、2021年11月2日に Box に対して問題を報告し、その後に同社から修正プログラムが発行されたとのことだ。

MFA とは、パスワード (ユーザーだけが知る) と一時的なワンタイム・パスワード (TOTP:ユーザーだけが持つ)などの要素の、組み合わせに依存する認証方法であり、クレデンシャル・スタッフィングなどのアカウント乗っ取り攻撃に対する、第2の防御手段をユーザーに提供するものだ。

この2段階認証には、SMS でコードを送信する方法と、認証アプリやハードウェア・セキュリティキーを介してアクセスする方法がある。SMS 認証に登録されている Box ユーザーが、有効なユーザー名とパスワードでログインすると、サービスはセッションクッキーを設定し、TOTP の入力によりアカウントにアクセスできるページへと、ユーザーをリダイレクトする。

Varonis が見つけ出したバイパスは、研究者たちが「MFAモードの混合」と呼ぶものである。これは、攻撃者が被害者の認証情報を使ってサインインした後に、SMS ベースの認証を放棄し、たとえば認証アプリを使った別のプロセスで、自分の Box アカウントに関連する TOTP を提供するだけで、ログインを成功させる場合に起こり得る。

研究者たちは、「Box は、被害者が認証アプリに登録していないことを見落とし、全く別のアカウントから得た有効な認証パスコードを、ログインしているユーザーのものであるかどうかを最初に確認することなく、盲目的に受け入れてしまう。それにより、被害者の携帯電話へのアクセスや、SMS によるユーザー通知をバイパスし、被害者の Box アカウントへのアクセスが可能になった」と述べている。

つまり、Box は、被害者による認証アプリへの登録の有無を確認していないだけではなく、被害者に実際にリンクしている認証アプリと、入力されたコードの関連も検証していないことになる。

今回の調査結果は、Varonis が「ユーザー名とパスワードを入力した後に、そして、2つ目の要素を入力する前に、MFA からユーザーを解除する」ことで、脅威アクターが多要素認証を回避できる手法を公開してから、1カ月余りが経過してから公開された。

研究者はたち 2021年12月初旬に、「/mfa/unenrollment エンドポイントは、ユーザーのアカウントから TOTP デバイスを削除するために、ユーザーが完全に認証されることを必要としなかった。MFA は、コードを書いている開発者の能力に依存しており、誤った安心感を与える可能性があります。MFA が有効になっているからといって、アカウントを侵害する攻撃者が、被害者のデバイスに物理的にアクセスしなければならないとは限らない」と述べている。

Box を使用しているユーザーにとっては、冷や汗ものの脆弱性です。誤った安心感ほど、恐ろしいものはありません。今後ですが、さまざまな Web アプリにおいて、とりわけ内製アプリにおいて、MFA が採用されていくことになると思います。その際に、やってはいけないこと、 Box が示してくれたわけです。よろしければ、カテゴリ authNauthZ もご参照ください。

%d bloggers like this: