FIDO2 (Fast Identity Online 2) kimlik doğrulaması, kullanıcıları kimlik avından, oturumun ele geçirilmesinden ve bazı MITM (Ortadaki Adam) saldırılarından koruyarak güvenliği nedeniyle övgüyle karşılandı. Ancak kimlik koruma platformu Silverfort, saldırganların karmaşık bir MITM tekniği kullanarak belirli koşullar altında FIDO2 kimlik avına karşı korumaları atlayabileceklerini öne sürüyor.
Tipik MITM saldırıları, saldırganların kullanıcı iletişimini ele geçirmesine ve oturum açma kimlik bilgilerini çalmasına olanak tanır ancak FIDO2, fiziksel güvenlik anahtarları, USB belirteçleri veya biyometri kullanarak bu saldırılara karşı bağışık olacak şekilde tasarlanmıştır. Ancak Silverfort’un güvenlik araştırmacısı Dor Segal, FIDO2’nin bu tehditlere karşı bağışık olmadığını keşfetti.
Bilginiz olsun diye söylüyorum, Fast Identity Online (FIDO) Alliance tarafından geliştirilen FIDO2, kullanıcının çevrimiçi bir hizmete kaydolduğu ve USB belirteci gibi bir kimlik doğrulama mekanizmasını seçtiği genel anahtar şifrelemesine dayanmaktadır. İstemci cihazı genel ve özel bir anahtar çifti oluşturur. Genel anahtar şifrelenir ve hizmetle paylaşılır, özel anahtar ise kullanıcının cihazında güvenli bir şekilde saklanır.
Sorun, çoğu Web uygulamasının başarılı kimlik doğrulama sonrasında oturum belirteçlerini korumada başarısız olması ve saldırganların bunları çalmasına, kurbanın kimliğine bürünmesine ve tek oturum açma (SSO) yoluyla tüm uygulamalara erişim sağlamasına olanak sağlaması nedeniyle ortaya çıkar.
Bunun nedeni, SSO gibi üçüncü taraf çözümlerin, trafiği şifreleyen Aktarım Katmanı Güvenliği (TLS) mekanizmalarından farklı olarak, belirteçleri ve trafik oturumlarını korumadan, saatlerce sürebilen kimlik doğrulama oturumları oluşturmasıdır.
TLS, MITM saldırılarını daha zor hale getirirken, saldırganlar MITM konumlarını güvence altına almak için Adres Çözümleme Protokolü (ARP) zehirlenmesi ve Durum Bilgisi Olmayan Adres Otomatik Yapılandırması (SLAAC) gibi yöntemleri kullanmaya devam edebilir ve kurbanın güvenli bir Web uygulaması olan Segal’e bağlanmak için SSO’yu kullanmasını bekleyebilir. kayıt edilmiş.
Sonraki oturum korunmazsa, saldırgan jetonları çalabilir, oturumu ele geçirebilir ve kurbanın kimliğine bürünebilir.
Silverfort tarafından 10 Mayıs 2024’te yayınlanan araştırma, üç kullanım durumunu inceliyor:
- TOA kimliğini girin
- PingFederate.
- Yubico Oyun Alanı
Yubico Playground, FIDO güvenlik özelliklerini test ederek oturumun ele geçirilmesi risklerini ortaya çıkarıyor. Entra ID SSO’nun güvenliği vardır ancak parolasız mekanizmaları (özellikle FIDO2) sınırlarken PingFederate üçüncü taraf bağdaştırıcıları kullanır, ancak geliştiriciler belirteçleri doğrulamazsa MITM saldırıları meydana gelebilir.
Araştırmaya göre SSO zincirindeki en zayıf halka SSO protokolleriydi ve bu da sağlam kimlik doğrulama mekanizmalarına olan ihtiyacın altını çiziyordu.
Güvenlik
SSO kimlik doğrulamasını güvence altına almak için FIDO2 kullanan kuruluşlar, varsayılan ayarı değiştirmeli ve mümkün olduğunda belirteç bağlamayı etkinleştirmelidir. Token Bağlama, uygulamaların ve hizmetlerin güvenlik tokenlarını TLS katmanına güvenli bir şekilde bağlamasını sağlayarak token hırsızlığını ve MITM saldırılarını önler. Bu, özellikle güvenlik konusunda bilgili olmayan ve bu seçeneğin farkında olmayan geliştiriciler için önemlidir.
Uzman Görüşü
Sectigo Ürünlerinden Sorumlu Kıdemli Başkan Yardımcısı Jason Soroko, Silverfort’un raporuyla ilgili düşüncelerini paylaşarak yöntemin tüm kimlik doğrulama teknikleri için kontrol edilmesi gerektiğini vurguladı.
“Silverfort’un tanımladığı FIDO2 atlaması, tüm kimlik doğrulama teknikleri için dikkate alınması gereken bir şeydir çünkü FIDO2 güçlü bir asimetrik gizliliğe dayansa da, SSO uygulamaları çoğunlukla çok daha az güvenli bir simetrik gizli gizliye, genellikle bir oturum belirtecine dayanır.” Jason.
“En kötü senaryoda, saldırgan bir oturum belirtecini alıp kurban olarak kimliğini doğrulayabilir. Bu raporun ana çıkarımı, token bağlama fikrini yeniden incelememiz ve FIDO2 uygulamalarının zayıf bir temele dayanmadığından emin olmamız gerektiğidir.” tavsiyesinde bulundu.
İLGİLİ KONULAR
- Power LED ile şifreleme anahtarlarını çıkarmak artık mümkün
- kr00k – Milyarlarca Wi-Fi cihazı şifreleme kusurundan etkilendi
- Şifreleme Tabanlı Kötü Amaçlı Yazılım (Fidye Yazılımı) Nasıl Önlenir?
- Siber Güvenlik Çalışanlarına Yönelik Kimlik Avı E-postasının Geleceği Eğitimi
- Microsoft Oturum Açma İşlemlerini Hedefleyen Nespresso Etki Alanı Ele Geçirildi