Una nueva técnica de ataque sofisticada compromete la autenticación clave de identidad rápida (FIDO) al explotar las características de inicio de sesión entre dispositivos.
El grupo de ataque de envenenamiento ha desarrollado un método para degradar las protecciones clave de Fido a través de campañas de phishing adversarias en el medio (AITM) que engañan a los usuarios para escanear códigos QR maliciosos con sus autenticadores MFA.
Este desarrollo representa una escalada significativa en los ataques basados en la identidad, que ahora representan el 66.2% de los incidentes de seguridad de acuerdo con los recientes informes de inteligencia de amenazas.
Control de llave
1. Entrenada de intoxicación Los usuarios para escanear códigos QR maliciosos para evitar la protección de la clave FIDO.
2. Explotan el inicio de sesión entre dispositivos interceptando la autenticación entre usuarios y portales de inicio de sesión.
3. Habilite los requisitos de Bluetooth y monitoree los registros de autenticación para actividades sospechosas.
Cómo funciona el ataque de envenenamiento
Expulsar informes Que el ataque comienza con un correo electrónico de phishing convencional que dirige objetivos a páginas de inicio de sesión fraudulentas que imitan los portales de autenticación legítimos, como interfaces falsas de OKTA alojadas en dominios sospechosos como OKTA (.) Requisito de inicio de sesión (.) Com.
Cuando los usuarios con protección de la tecla FIDO ingresan sus credenciales en estos sitios de phishing, los atacantes transmiten automáticamente el nombre de usuario y la contraseña robados al portal de inicio de sesión legítimo y al mismo tiempo solicitan la funcionalidad de inicio de sesión entre dispositivos.
Los actores maliciosos explotan la función de inicio de sesión de servicio cruzado capturando el código QR generado por el sistema de autenticación legítimo y mostrándolo a las víctimas en la página de phishing falso.
Esta técnica evita efectivamente el requisito de interacción física típicamente asociado con las teclas FIDO, ya que los usuarios sin saberlo completan el proceso de autenticación escaneando el código QR con sus aplicaciones de autenticador MFA móvil.
La funcionalidad de inicio de sesión entre dispositivos se diseñó para ayudar a los usuarios a autenticarse en sistemas sin prepasones registrados utilizando dispositivos inscritos adicionales, típicamente teléfonos móviles con aplicaciones de autenticador MFA.
En circunstancias normales, este proceso implica una comunicación segura entre el portal de inicio de sesión y el autenticador MFA para verificar la identidad del usuario.
Sin embargo, los atacantes de envenenamiento han armado esta característica de seguridad legítima al posicionarse como intermediarios en el flujo de autenticación.
El ataque aprovecha los servicios de infraestructura de buena reputación como CloudFlare para alojar dominios de phishing como AWS-US3-ManageProd (.) Com, que presta falso credibilidad a los sitios maliciosos.
Esta elección de infraestructura ayuda a las páginas de inicio de sesión fraudulentas a parecer más confiables para las posibles víctimas, aumentando la probabilidad de una cosecha exitosa de credenciales.
Mitigaciones
A pesar de estos ataques, Fido Keys sigue siendo valiosas inversiones de seguridad, aunque las organizaciones ahora deben auditar los registros de autenticación con más cuidado para actividades sospechosas.
Los equipos de seguridad deben monitorear las solicitudes de inicio de sesión entre dispositivos de ubicaciones geográficas inusuales, registros de claves FIDO inesperados y múltiples claves registradas en rápida sucesión.
Una medida defensiva crítica implica habilitar los requisitos de comunicación Bluetooth entre dispositivos móviles y sistemas no registrados durante los procesos de inicio de sesión entre dispositivos, lo que reduciría la efectividad del ataque de AITM a casi cero.
Las organizaciones también deben revisar los dispositivos de autenticación asociados con cuentas comprometidas, finalizar las sesiones de usuario afectadas y restablecer las contraseñas cuando se detectan incidentes.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
