Cybersecurity -onderzoekers hebben een nieuwe aanvalstechniek bekendgemaakt waarmee bedreigingsactoren de belangrijkste bescherming van Fast Identity Online (FIDO) kunnen downgraden door gebruikers te misleiden om authenticatieverzoeken goed te keuren van spoofed bedrijfsaanmeldingsportals.
FIDO-toetsen zijn hardware- of software-gebaseerde authenticators die zijn ontworpen om phishing te elimineren door aanmeldingen te binden aan specifieke domeinen met behulp van publiek-private belangrijke cryptografie. In dit geval exploiteren aanvallers een legitieme functie-aanmelding van het cross-apparaat-om slachtoffers te misleiden om onbewust te authenticeren van kwaadaardige sessies.
De activiteit, waargenomen door Expel als onderdeel van een phishing -campagne in het wild, is toegeschreven aan een dreigingsacteur genaamd Poisonseed, die onlangs werd gemarkeerd als gebruikmakend van gecompromitteerde referenties in verband met Customer Relationship Management (CRM) -hulpmiddelen en bulk -e -mailaanbieders om spamberichten te verzenden met cryptocurrency -zaadfrases en afvoerslachtoffers digitale walling.
“De aanvaller doet dit door te profiteren van de ondertekening van het cross-apparaat dat beschikbaar is met FIDO-toetsen,” zeiden onderzoekers Ben Nahorney en Brandon Overstreet. “De slechte acteurs in dit geval gebruiken deze functie echter bij aanvallen van tegenstanders-in-the-middle (AITM).”
Deze techniek werkt niet in alle scenario’s. Het is specifiek gericht op gebruikers die authenticeren via cross-apparaatstromen die geen strikte nabijheidscontroles afdwingen-zoals Bluetooth of lokale apparaatupporting. Als de omgeving van een gebruiker hardwarebeveiligingssleutels verplicht is die rechtstreeks op het inlogapparaat is aangesloten of platformgebonden authenticators gebruikt (zoals Face ID gekoppeld aan de browsercontext), breekt de aanvalsketen.
Dwist-apparaat kunnen gebruikers inloggen op een apparaat dat geen Passkey heeft met behulp van een tweede apparaat dat de cryptografische sleutel bevat, zoals een mobiele telefoon.
De aanvalsketen gedocumenteerd door Expel begint met een phishing-e-mail die ontvangers lokt om in te loggen op een nep-aanmeldingspagina die het OKTA-portal van de Enterprise nabootst. Zodra de slachtoffers hun referenties ingaan, wordt de aanmeldingsinformatie heimelijk doorgegeven door de nepsite naar de echte inlogpagina.
De phishing -site instrueert vervolgens de legitieme inlogpagina om de hybride transportmethode voor authenticatie te gebruiken, waardoor de pagina een QR -code bedient die vervolgens wordt teruggestuurd naar de phishing -site en aan het slachtoffer wordt gepresenteerd.
Als de gebruiker de QR -code scant met de Authenticator -app op hun mobiele apparaat, kunnen de aanvallers ongeautoriseerde toegang krijgen tot het account van het slachtoffer.
“In het geval van deze aanval hebben de slechte acteurs de juiste gebruikersnaam en wachtwoord ingevoerd en hebben ze aangevraagd om aanmelding van het cross-device,” zei Expel.
“De inlogportal toont een QR -code, die de phishing -site onmiddellijk vastlegt en teruggaat naar de gebruiker op de nepsite. De gebruiker scant het met zijn MFA -authenticator, het inlogportal en de MFA -authenticator communiceren en de aanvallers zijn erin.”
Wat de aanval opmerkelijk maakt, is dat het rond de bescherming van FIDO Keys omkomt en dreigingsactoren in staat stelt toegang te krijgen tot de accounts van gebruikers. De compromismethode maakt geen enkele fout in de FIDO -implementatie. Het misbruikt eerder een legitieme functie om het authenticatieproces te downgraden.
Hoewel FIDO2 is ontworpen om te weerstaan dat phishing, kan de inlogstroom van het kruispunt-bekend als hybride transport-misbruikt worden als de nabijheidsverificatie zoals Bluetooth niet wordt afgedwongen. In deze stroom kunnen gebruikers inloggen op een bureaublad door een QR -code te scannen met een mobiel apparaat dat hun Passkey bevat.
Aanvallers kunnen echter die QR -code in realtime onderscheppen en doorgeven via een phishing -site, waardoor gebruikers de authenticatie op een spoofed domein goedkeuren. Dit verandert een beveiligde functie in een phishing maas in de wet – niet als gevolg van een protocolfout, maar vanwege de flexibele implementatie.
Expel zei ook dat het een afzonderlijk incident observeerde waarbij een dreigingsacteur zijn eigen FIDO -sleutel inschreef na het in gevaar brengen van een account via een phishing -e -mail en het opnieuw instellen van het wachtwoord van de gebruiker.
Om gebruikersaccounts beter te beschermen, moeten organisaties FIDO2 -authenticatie koppelen aan cheques die verifiëren dat het gebruikte apparaat. Indien mogelijk moeten aanmeldingen plaatsvinden op hetzelfde apparaat dat het Passkey vasthoudt, wat het phishing -risico beperkt. Beveiligingsteams moeten uitkijken op ongebruikelijke QR -code -aanmeldingen of nieuwe Passkey -inschrijvingen. Accountherstelopties moeten phishing-resistente methoden gebruiken en inlogschermen-vooral voor ondertekeningen voor cross-apparaten-moeten handige details zoals locatie, apparaattype of duidelijke waarschuwingen weergeven om gebruikers te helpen verdachte activiteit te zien.
De bevindingen onderstrepen in elk geval de noodzaak om phish-resistente authenticatie aan te nemen in alle stappen in een accountlevenscyclus, inclusief tijdens herstelfasen, als het gebruik van een authenticatiemethode die vatbaar is voor phishing kan de gehele identiteitsinfrastructuur ondermijnen.
“AITM-aanvallen op Fido Keys en aanvaller-gecontroleerde FIDO-toetsen zijn slechts de laatste in een lange reeks voorbeelden waarbij slechte acteurs en verdedigers de ante omhoog in de strijd om gebruikersrekeningen te compromitteren/te beschermen,” voegden de onderzoekers toe.
(Het verhaal werd na publicatie bijgewerkt om duidelijker te maken dat de aanvalstechniek FIDO -bescherming niet omzeilt en dat het de authenticatie verlaagt naar een methode die vatbaar is voor phishing.)
