Los investigadores de seguridad han creado un nuevo ataque de rebaja de Fido contra Microsoft Entra ID que engaña a los usuarios para que se autenticen con métodos de inicio de sesión más débiles, haciéndolos susceptibles al secuestro de phishing y sesiones. Estos canales de inicio de sesión más débiles son vulnerables a los ataques de phishing adversario en el medio que emplean herramientas como EvilGinX, lo que permite a los atacantes arrebatear cookies de sesión válidas y secuestrar las cuentas. Aunque el ataque no prueba una vulnerabilidad en el propio Fido, muestra que el sistema puede ser evitado, lo cual es una debilidad crucial. Esto es especialmente preocupante teniendo en cuenta la mayor adopción de la autenticación basada en FIDO en entornos críticos, una consecuencia de que la tecnología se promociona como extremadamente resistente a la phishing. FIDO Passkeys son un método de autenticación sin contraseña basado en los estándares FIDO2 y WebAuthn, diseñados para eliminar las debilidades de las contraseñas y la autenticación tradicional de factores múltiples (MFA). Cuando un usuario registra una clave de passey, su dispositivo genera un par de claves (privadas + públicas), que se utilizan para resolver un desafío aleatorio y único durante el inicio de sesión en los servicios en línea, verificando la identidad del usuario. Como solo el dispositivo del usuario contiene la clave privada correcta, que no se transmite en ningún lugar durante el proceso de inicio de sesión, no hay nada que los actores de phishing puedan interceptar. Degradación y eludir a Fido El nuevo ataque de rebaja creado por los investigadores de PROASPPOINT emplea un Phishlet personalizado dentro del marco del adversario en el medio (AITM) de Evilginx para falsificar un agente de usuarios de navegador que carece de soporte FIDO. Específicamente, los investigadores falsan a Safari en Windows, que no es compatible con la autenticación basada en FIDO en Microsoft Entra ID. «Esta brecha aparentemente insignificante en la funcionalidad puede ser aprovechada por los atacantes», explica el investigador de PROASTPOint, Yaniv Miron. «Un actor de amenaza puede ajustar el AITM para falsificar un agente de usuario no compatible, que no es reconocido por una implementación de FIDO. Posteriormente, el usuario se vería obligado a autenticarse a través de un método menos seguro. Este comportamiento, observado en las plataformas de Microsoft, es una medida de seguridad faltante». Cuando el objetivo hace clic en un enlace de phishing entregado por correo electrónico, SMS o un mensaje de consentimiento de OAuth, se dirigen a un sitio de phishing que ejecuta el Phishlet personalizado. Como se trata de un ataque AITM, la forma legítima de ID de Microsoft Entra está representada por la plataforma de phishing y se muestra al usuario objetivo. Debido a que Phishlet falsifica a un agente de usuario del navegador no compatible, Microsoft Entra ID desactiva la autenticación FIDO y, en cambio, devuelve un error. Este error solicita al usuario que elija un método alternativo alternativo de verificación, como la aplicación Microsoft Authenticator, el código SMS o OTP. Error de inicio de sesión (izquierda) y opciones de respaldo (derecha) Fuente: PROPTOINT Si el usuario usa uno de los métodos alternativos, el proxy AITM intercepta tanto sus credenciales de cuenta como el token MFA o la cookie de sesión. Luego, el atacante importa la cookie robada a su propio navegador, otorgando el acceso completo a la cuenta de la víctima, que teóricamente era resistente al phishing. Proofpoint dice que aún no ha observado casos de esta técnica utilizando los piratas informáticos en la naturaleza, ya que los actores de amenaza aún se centran en objetivos más fáciles, como cuentas que carecen de protección de MFA. Aún así, el riesgo es significativo, especialmente en ataques limitados y altamente dirigidos. Para mitigar los riesgos de esta amenaza emergente, considere desactivar los métodos de autenticación de respaldo para su cuenta o activar cheques y confirmaciones adicionales cuando se activan dichos procesos. Si un proceso de inicio de sesión solicita repentinamente un método diferente en lugar de una clave de pase registrada, es una bandera roja, y los usuarios deben abortar y verificar a través de canales oficiales y confiables. En julio, los investigadores de Expel presentaron un ataque de rebaja de Fido diferente denominado ‘envenenado’, donde un sitio de phishing robó las credenciales del objetivo e inició un flujo de autenticación de dispositivos cruzados, generando un código QR en la página de inicio de sesión del Servicio Real, engañando al objetivo para escanearlo para obtener una solicitud de inicio de sesión de un dispositivo Rogue. Aunque el concepto fue interesante, los investigadores luego descubrieron que era prácticamente inviable debido a los requisitos de proximidad, lo que condujo a las solicitudes de autenticación fraudulenta en el fracaso. URL de publicación original: https://www.proofpoint.com/us/newsroom/news/new- downgrade-attack-can-bypass-fido-auth-microsoft-entra-id
Etiqueta: Punto de prueba
Al principio, los analistas pensaron que el programa de descarga era una variante del conocido malware IcedID, pero resulta que Latrodectus es algo completamente nuevo. El malware está siendo utilizado por corredores de acceso inicial (IAB) en campañas de amenazas por correo electrónico, y los investigadores detrás del descubrimiento en Proofpoint y el equipo de investigación de amenazas Team Cymru S2 predicen que Latrodectus continuará ganando impulso entre los actores de amenazas. Esto se debe en gran parte a su capacidad para evadir la detección de la zona de pruebas, dijeron los investigadores. “Después de la inicialización, el malware verificará su entorno para confirmar que no se está ejecutando en un entorno limitado, confirmando la cantidad de procesos en ejecución en el dispositivo, luego verificando que se esté ejecutando en un host de 64 bits y, por último, el malware busca para ver si el host tiene una dirección MAC válida”, según un comunicado de Adam Neel, ingeniero de detección de amenazas en Critical Start. «Estas técnicas de evasión del sandbox pueden frenar a los investigadores y defensores a la hora de analizar muestras de Latrodectus». Descubierto por primera vez a finales de 2023, ha habido un claro aumento en la actividad de amenazas utilizando el nuevo cargador durante febrero y marzo, advirtió el informe. Aunque no es una variante de IcedID, los investigadores descubrieron que Latrodectus (llamado así por una cadena de código encontrada durante el análisis) tiene características similares, lo que llevó al equipo a concluir que ambos fueron creados por los mismos desarrolladores. El primer grupo que utilizó Latrodectus en noviembre de 2023 fue TA577, y ha estado dependiendo de él casi exclusivamente desde mediados de enero de 2024, según el informe. Antes de capturar a Latrodectus, el grupo adversario estaba usando IcedID, añadió. En febrero, los investigadores descubrieron que otro grupo, TA578, estaba distribuyendo Latrodectus en una campaña que enviaba amenazas de acciones legales por infracción de derechos de autor como señuelo de phishing. ¿Es Latrodectus Downloader el nuevo QBot? El nuevo descargador Latrodectus está posicionado para llenar el vacío dejado por la eliminación del malware QBot (también conocido como Qakbot) en el verano de 2023, según una declaración de Ken Dunham, director de amenazas cibernéticas de la Unidad de Investigación de Amenazas de Qualys. «TA577 y otros actores están afiliados a Qbot y ahora, una nueva campaña de malware, Latrodectus», explicó Dunham. «Parece probable que los actores detrás de QBot sintieran la presión de los derribos el año pasado y migraran a esta nueva base de código e infraestructura en el otoño de 2023». Los expertos aconsejan que el conocimiento del uso activo de Latrodectus en campañas de correo electrónico, junto con la vigilancia, ayudará a las empresas a defenderse contra el descargador actualizado. El nuevo informe de Latrodectus proporciona tácticas, técnicas y procedimientos para ayudar. «Es posible que esta no sea la última forma de Latrodectus y podría seguir creciendo y diferenciándose más de IcedID en el futuro», añadió Neel. «Latrodectus se distribuye actualmente a través de campañas de correo electrónico, por lo que la necesidad de concienciar sobre el phishing sigue siendo increíblemente importante».
Esta semana nos acompaña Selena Larson de Proofpoint, quien habla sobre su investigación, «Bumblebee Buzzes Back in Black». Bumblebee es un descargador sofisticado utilizado por múltiples actores de amenazas cibercriminales y fue una carga útil favorita desde su primera aparición en marzo de 2022 hasta octubre de 2023 antes de desaparecer. Después de una pausa de cuatro meses, los investigadores de Proofpoint descubrieron que el programa de descarga regresó. Su regreso se alinea con un aumento de la actividad de amenazas cibercriminales después de una notable ausencia de muchos actores de amenazas y malware. La investigación se puede encontrar aquí: