Los investigadores de seguridad han creado un nuevo ataque de rebaja de Fido contra Microsoft Entra ID que engaña a los usuarios para que se autenticen con métodos de inicio de sesión más débiles, haciéndolos susceptibles al secuestro de phishing y sesiones. Estos canales de inicio de sesión más débiles son vulnerables a los ataques de phishing adversario en el medio que emplean herramientas como EvilGinX, lo que permite a los atacantes arrebatear cookies de sesión válidas y secuestrar las cuentas. Aunque el ataque no prueba una vulnerabilidad en el propio Fido, muestra que el sistema puede ser evitado, lo cual es una debilidad crucial. Esto es especialmente preocupante teniendo en cuenta la mayor adopción de la autenticación basada en FIDO en entornos críticos, una consecuencia de que la tecnología se promociona como extremadamente resistente a la phishing. FIDO Passkeys son un método de autenticación sin contraseña basado en los estándares FIDO2 y WebAuthn, diseñados para eliminar las debilidades de las contraseñas y la autenticación tradicional de factores múltiples (MFA). Cuando un usuario registra una clave de passey, su dispositivo genera un par de claves (privadas + públicas), que se utilizan para resolver un desafío aleatorio y único durante el inicio de sesión en los servicios en línea, verificando la identidad del usuario. Como solo el dispositivo del usuario contiene la clave privada correcta, que no se transmite en ningún lugar durante el proceso de inicio de sesión, no hay nada que los actores de phishing puedan interceptar. Degradación y eludir a Fido El nuevo ataque de rebaja creado por los investigadores de PROASPPOINT emplea un Phishlet personalizado dentro del marco del adversario en el medio (AITM) de Evilginx para falsificar un agente de usuarios de navegador que carece de soporte FIDO. Específicamente, los investigadores falsan a Safari en Windows, que no es compatible con la autenticación basada en FIDO en Microsoft Entra ID. «Esta brecha aparentemente insignificante en la funcionalidad puede ser aprovechada por los atacantes», explica el investigador de PROASTPOint, Yaniv Miron. «Un actor de amenaza puede ajustar el AITM para falsificar un agente de usuario no compatible, que no es reconocido por una implementación de FIDO. Posteriormente, el usuario se vería obligado a autenticarse a través de un método menos seguro. Este comportamiento, observado en las plataformas de Microsoft, es una medida de seguridad faltante». Cuando el objetivo hace clic en un enlace de phishing entregado por correo electrónico, SMS o un mensaje de consentimiento de OAuth, se dirigen a un sitio de phishing que ejecuta el Phishlet personalizado. Como se trata de un ataque AITM, la forma legítima de ID de Microsoft Entra está representada por la plataforma de phishing y se muestra al usuario objetivo. Debido a que Phishlet falsifica a un agente de usuario del navegador no compatible, Microsoft Entra ID desactiva la autenticación FIDO y, en cambio, devuelve un error. Este error solicita al usuario que elija un método alternativo alternativo de verificación, como la aplicación Microsoft Authenticator, el código SMS o OTP. Error de inicio de sesión (izquierda) y opciones de respaldo (derecha) Fuente: PROPTOINT Si el usuario usa uno de los métodos alternativos, el proxy AITM intercepta tanto sus credenciales de cuenta como el token MFA o la cookie de sesión. Luego, el atacante importa la cookie robada a su propio navegador, otorgando el acceso completo a la cuenta de la víctima, que teóricamente era resistente al phishing. Proofpoint dice que aún no ha observado casos de esta técnica utilizando los piratas informáticos en la naturaleza, ya que los actores de amenaza aún se centran en objetivos más fáciles, como cuentas que carecen de protección de MFA. Aún así, el riesgo es significativo, especialmente en ataques limitados y altamente dirigidos. Para mitigar los riesgos de esta amenaza emergente, considere desactivar los métodos de autenticación de respaldo para su cuenta o activar cheques y confirmaciones adicionales cuando se activan dichos procesos. Si un proceso de inicio de sesión solicita repentinamente un método diferente en lugar de una clave de pase registrada, es una bandera roja, y los usuarios deben abortar y verificar a través de canales oficiales y confiables. En julio, los investigadores de Expel presentaron un ataque de rebaja de Fido diferente denominado ‘envenenado’, donde un sitio de phishing robó las credenciales del objetivo e inició un flujo de autenticación de dispositivos cruzados, generando un código QR en la página de inicio de sesión del Servicio Real, engañando al objetivo para escanearlo para obtener una solicitud de inicio de sesión de un dispositivo Rogue. Aunque el concepto fue interesante, los investigadores luego descubrieron que era prácticamente inviable debido a los requisitos de proximidad, lo que condujo a las solicitudes de autenticación fraudulenta en el fracaso. URL de publicación original: https://www.proofpoint.com/us/newsroom/news/new- downgrade-attack-can-bypass-fido-auth-microsoft-entra-id