Ha surgido un nuevo vector de amenaza sofisticado que podría socavar uno de los métodos de autenticación más confiables en ciberseguridad.
Los pases de pasas basados en FIDO, considerados durante mucho tiempo el estándar de oro para la autenticación resistente al phishing, ahora se enfrentan a una técnica de ataque potencialmente devastadora que obliga a los usuarios a degradar a los métodos de autenticación menos seguros.
El ataque explota una vulnerabilidad crítica en la implementación de FIDO en las principales plataformas, particularmente Microsoft Entra ID, donde ciertos navegadores web carecen de soporte de Key Key.
Esta brecha de compatibilidad aparentemente menor crea una oportunidad para que los cibercriminales manipulen el proceso de autenticación, lo que obliga a las víctimas a usar métodos tradicionales de autenticación multifactor que son susceptibles a los ataques adversarios en el medio.
Error que se muestra al usar un Phishlet estándar para un usuario con autenticación FIDO (fuente – Prueba)
Las campañas modernas de phishing han evolucionado significativamente con el aumento de los sofisticados kits de phishing AITM como Evilginx, EvilProxy y Tycoon, que han hecho que el secuestro de sesiones sea más accesible para los actores de amenazas.
Lista de sesiones de víctimas en Evilginx (Fuente – Prueba)
Estas plataformas proporcionan interfaces intuitivas que reducen las barreras técnicas, lo que permite a los atacantes ejecutar operaciones de phishing complejas con una facilidad sin precedentes.
Investigadores de prueba identificado Esta amenaza emergente después de descubrir que los phishlets estándar generalmente fallan al encontrar cuentas aseguradas por FIDO, lo que lleva a los atacantes a desarrollar técnicas especializadas.
El ataque comienza cuando las víctimas reciben mensajes de phishing que contienen enlaces maliciosos impulsados por un Phishlet dedicado de Fido.
Al hacer clic, los objetivos encuentran lo que parece ser un error de autenticación, lo que los obliga a seleccionar métodos alternativos de inicio de sesión.
Esta interfaz engañada refleja páginas legítimas de autenticación de Microsoft, creando una ilusión convincente de mal funcionamiento del sistema.
Implementación técnica y suplantación de agentes de usuario
El mecanismo central detrás de los ataques de degradación de autenticación FIDO se basa en sofisticadas técnicas de falsificación de agentes de usuarios.
Los atacantes configuran su infraestructura AITM para presentarse como un entorno de navegador no compatible, como Safari en Windows, que carece de compatibilidad de FIDO2 con Microsoft Entra ID.
El atacante se autentica con éxito como la víctima, utilizando la cookie de sesión interceptada (fuente – PRUEBA)
Cuando el sistema de autenticación detecta este entorno falsificado, automáticamente presenta opciones de respuesta.
La secuencia de ataque demuestra una notable sofisticación técnica. Una vez que las víctimas se autentican a través del método degradado, los atacantes interceptan credenciales y tokens de sesión utilizando servidores de proxy inverso.
Las cookies de sesión robadas se pueden importar directamente al navegador del atacante, lo que permite la adquisición completa de la cuenta sin requerir desafíos de autenticación adicionales.
Esta técnica evita efectivamente las implementaciones FIDO más sólidas al explotar el elemento humano en lugar de las vulnerabilidades técnicas en los propios protocolos criptográficos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
