Pesquisadores de segurança criaram um novo ataque de downgrade FIDO contra o Microsoft Entra ID que engana os usuários fazendo com que autentiquem por métodos de login mais fracos, tornando-os suscetíveis a phishing e sequestro de sessão.
Esses canais de login mais fracos são vulneráveis a ataques de phishing adversary-in-the-middle que empregam ferramentas como Evilginx, permitindo que os atacantes capturem cookies de sessão válidos e sequestrem as contas.
Embora o ataque não comprove uma vulnerabilidade no FIDO em si, ele mostra que o sistema pode ser contornado, o que é uma falha crucial.
Isso é especialmente preocupante considerando a adoção crescente da autenticação baseada em FIDO em ambientes críticos, uma consequência da tecnologia ser promovida como extremamente resistente a phishing.
Passkeys FIDO são um método de autenticação sem senha baseado nos padrões FIDO2 e WebAuthn, projetados para eliminar as fraquezas de senhas e da autenticação multi-fator (MFA) tradicional.
Quando um usuário registra um passkey, seu dispositivo gera um par de chaves (privada + pública), que são usadas para resolver um desafio único e aleatório durante o login em serviços online, verificando a identidade do usuário.
Como apenas o dispositivo do usuário possui a chave privada correta, que não é transmitida durante o processo de login, não há nada que os agentes de phishing possam interceptar.
O novo ataque de downgrade criado pelos pesquisadores da Proofpoint emprega um phishlet personalizado dentro da estrutura adversary-in-the-middle (AiTM) Evilginx para forjar um agente de usuário de navegador que não suporta FIDO.
Especificamente, os pesquisadores forjaram o Safari no Windows, que não é compatível com a autenticação baseada em FIDO no Microsoft Entra ID.
"Essa lacuna aparentemente insignificante na funcionalidade pode ser explorada por atacantes", explica o pesquisador da Proofpoint, Yaniv Miron.
"Um agente de ameaça pode ajustar o AiTM para forjar um agente de usuário não suportado, que não é reconhecido por uma implementação FIDO.
Subsequentemente, o usuário seria forçado a autenticar através de um método menos seguro.
Esse comportamento, observado nas plataformas da Microsoft, é uma medida de segurança ausente."
Quando o alvo clica em um link de phishing entregue por email, SMS ou um prompt de consentimento OAuth, eles são direcionados para um site de phishing executando o phishlet personalizado.
Como esse é um ataque AiTM, o formulário legítimo do Microsoft Entra ID é proxyado pela plataforma de phishing e mostrado ao usuário alvo.
Como o phishlet forja um agente de usuário de navegador não suportado, o Microsoft Entra ID desativa a autenticação FIDO e, em vez disso, retorna um erro.
Esse erro solicita que o usuário escolha um método de verificação alternativo fallback, como o aplicativo Microsoft Authenticator, código SMS ou OTP.
Se o usuário usa um dos métodos alternativos, o proxy AiTM intercepta as credenciais da conta e o token MFA ou cookie de sessão.
O atacante então importa o cookie roubado para o próprio navegador, obtendo acesso total à conta da vítima, que teoricamente era resistente a phishing.
A Proofpoint diz que ainda não observou casos dessa técnica sendo usada por hackers na prática, pois os agentes de ameaça ainda focam em alvos mais fáceis, como contas sem proteção MFA.
Ainda assim, o risco é significativo, especialmente em ataques altamente direcionados e limitados.
Para mitigar riscos dessa ameaça emergente, considere desativar métodos de autenticação fallback para sua conta ou ativar verificações e confirmações adicionais quando tais processos são acionados.
Se um processo de login de repente pede um método diferente ao invés de um passkey registrado, isso é um sinal vermelho, e os usuários devem abortar e verificar por canais oficiais e confiáveis.
Em julho, pesquisadores da Expel apresentaram um ataque de downgrade FIDO diferente denominado 'PoisonSeed', onde um site de phishing roubava as credenciais do alvo e iniciava um fluxo de autenticação cross-device, gerando um QR code na página de login do serviço real, enganando o alvo para escaneá-lo para aprovar uma solicitação de login de um dispositivo malicioso.
Embora o conceito fosse interessante, os pesquisadores mais tarde descobriram que era praticamente inviável devido aos requisitos de proximidade, o que levou ao fracasso das solicitações de autenticação fraudulentas.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...