Pesquisadores de cibersegurança revelaram uma técnica de ataque inovadora que permite a atores de ameaças contornar as proteções de chaves Fast IDentity Online (FIDO) ao enganar usuários para que aprovem solicitações de autenticação de portais de login de empresas falsificados.
A atividade, observada pela Expel como parte de uma campanha de phishing na prática, foi atribuída a um ator de ameaça denominado PoisonSeed, que recentemente foi sinalizado por utilizar credenciais comprometidas associadas a ferramentas de gestão de relacionamento com o cliente (CRM) e provedores de email em massa para enviar mensagens spam contendo frases-semente de criptomoedas e esvaziar as carteiras digitais das vítimas.
"O atacante faz isso aproveitando-se dos recursos de login cross-device disponíveis com chaves FIDO," disseram os pesquisadores Ben Nahorney e Brandon Overstreet.
No entanto, os mal-intencionados neste caso estão usando esse recurso em ataques adversary-in-the-middle (AitM).
O login cross-device permite que usuários façam login em um dispositivo que não possui uma passkey usando um segundo dispositivo que possui a chave criptográfica, como um celular.
A cadeia de ataques documentada pela Expel começa com um email de phishing que atrai os destinatários para fazerem login em uma página falsa imitando o portal Okta da empresa.
Assim que as vítimas inserem suas credenciais, as informações de login são secretamente retransmitidas pelo site falso para a página de login real.
O site de phishing então instrui a página de login legítima a usar o método de transporte híbrido para autenticação, o que faz com que a página gere um código QR que é posteriormente enviado de volta ao site de phishing e apresentado à vítima.
Caso o usuário escaneie o código QR com o aplicativo autenticador em seu dispositivo móvel, isso permite que os atacantes obtenham acesso não autorizado à conta da vítima.
"No caso deste ataque, os mal-intencionados inseriram o nome de usuário e senha corretos e solicitaram o login cross-device," disse a Expel.
O portal de login exibe um código QR, que o site de phishing captura imediatamente e retransmite ao usuário no site falso.
O usuário o escaneia com seu autenticador MFA, o portal de login e o autenticador MFA se comunicam, e os atacantes conseguem acesso.
O que torna o ataque notável é que ele contorna as proteções oferecidas pelas chaves FIDO e permite que atores de ameaças obtenham acesso às contas dos usuários.
O método de comprometimento não explora nenhuma falha na implementação da FIDO.
Em vez disso, ele abusa de um recurso legítimo para rebaixar o processo de autenticação.
As chaves FIDO são projetadas para prevenir phishing ao vincular a autenticação ao domínio que está sendo acessado — mas quando os códigos QR são retransmitidos entre dispositivos e interfaces, esse link de confiança quebra.
Os atacantes exploram esse ponto cego em fluxos iniciados por dispositivos, onde o usuário não está validando diretamente o domínio de destino, efetivamente rebaixando a etapa de autenticação sem levantar suspeitas.
A Expel também disse que observou um incidente separado onde um ator de ameaça registrou sua própria chave FIDO após comprometer uma conta por meio de um email de phishing e redefinir a senha do usuário.
Se algo, os achados sublinham a necessidade de adotar autenticação resistente a phishing em todas as etapas do ciclo de vida da conta, incluindo durante as fases de recuperação, pois usar um método de autenticação que é suscetível a phishing pode comprometer toda a infraestrutura de identidade.
"Ataques AitM contra chaves FIDO e chaves FIDO controladas por atacantes são apenas os mais recentes em uma longa série de exemplos onde mal-intencionados e defensores aumentam a aposta na luta para comprometer/proteger contas de usuários," adicionaram os pesquisadores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...