alixixi 8 月 14 日消息,科技媒体 bleepingcomputer 昨日(8 月 13 日)发布博文,报道称安全研究人员发现一种新型 FIDO 降级攻击,可绕过微软 Entra ID 中的 FIDO 认证机制,诱使用户使用较弱的验证方式登录,从而暴露于中间人钓鱼攻击。
alixixi注:FIDO 是 Fast Identity Online 的缩写,是一套开放标准,旨在实现无密码认证,提升账户安全性。
来自 Proofpoint 的安全专家近日披露新型 FIDO 降级攻击,并非利用 FIDO 协议本身漏洞,而是通过操纵浏览器 User Agent(浏览器向服务器标识自身信息的字符串,用于判断设备与浏览器兼容性)信息,伪装成不支持 FIDO 的环境,让系统自动关闭 FIDO 认证并提示用户选择其他验证方法。
攻击流程始于钓鱼链接,用户点击后被跳转到伪造登录页面(由 Evilginx 等中间人攻击框架搭建),该页面代理真实 Entra ID 登录表单,但攻击者配置的“phishlet”模块伪造了不支持 FIDO 的 User Agent。
系统检测后禁用 FIDO 功能,并返回错误提示,引导用户选择微软验证器应用、短信验证码或一次性密码等替代方式,这些方法的验证数据在传输过程中可被截取。
一旦用户完成替代验证,攻击者即可通过代理服务器获取完整的登录凭证及会话 Cookie,并将其导入本地浏览器,从而完全接管账户。尽管目前尚无野外利用案例,但攻击适用于高度针对性的高级持续性威胁场景。
