Proofpoint araştırmacıları, tehdit aktörlerinin, ortada düşman (AITM) çerçeveleri içinde özel bir phishlet kullanarak, tehdit aktörlerinin Fido tabanlı kimlik doğrulamasını düşürmelerine izin veren yeni bir tekniği ortaya çıkardılar.
Bu yöntem, tarayıcı uyumluluğu ve kullanıcı aracı işlemesindeki boşlukları kullanır, mağdurları daha az güvenli çok faktörlü kimlik doğrulama (MFA) mekanizmalarına geri dönmeye zorlar, böylece kimlik hırsızlığı ve oturum kaçırma sağlar.
Fido Alliance tarafından tanıtılan FIDO standartları, geleneksel şifreleri ortadan kaldırarak ve donanım anahtarlarını biyometri veya pimlerle birleştirerek kimlik avlamaya dayanıklı olarak selamlanırken, bu indirgeme vektörü sağlam sistemlerin bile sosyal mühendislik ve protokol manipülasyonu tarafından zayıflatılabileceğini göstermektedir.
Kimlik avına dirençli kimlik doğrulama
Saldırı, popüler bir AITM çerçevesi olan Evilginx gibi araçlar için özel bir phishlet yaratılmasına bağlı.
Yürütmede, saldırganlar, kurbanları sahte bir giriş sayfasına yönlendirerek e -posta, SMS veya OAuth onay istemleri yoluyla kötü niyetli bir bağlantı sağlayarak kimlik avı zincirini başlatır.
Microsoft Entra Kimliği ile FIDO2 uyumluluğundan yoksun olan Windows’ta Safari’yi taklit etmek gibi desteklenmeyen bir kullanıcı aracısını taklit ederek Phishlet bir kimlik doğrulama hatasını tetikler.
Bu, kurbanı, genellikle doğrulama kodlarına girdikleri Microsoft Authenticator gibi bir alternatif oturum açma yöntemi seçmeye teşvik eder.
Kimlik doğrulandıktan sonra, AITM proxy kimlik bilgilerini, MFA jetonlarını ve oturum çerezlerini keserek saldırganların bunları tam hesap devralma (ATO) için tarayıcılarına aktarmasına izin verir.
Kontratür sonrası faaliyetler daha sonra veri açığa çıkması, yanal hareket veya daha fazla ağ infiltrasyonunu içerebilir ve işletme ortamlarındaki riskleri artırabilir.
Kimlik avı evrimi için çıkarımlar
Proofpoint aktif kampanyalarda bu FIDO düşürme tekniğini gözlemlememiş olsa da, fizibilitesi, temel kimlik bilgisi hasatçılarından EvilProxy ve Tycoon gibi gelişmiş PHAAS platformlarına evrim geçiren kimlik avı kitlerinde artan bir sofistike olmanın altını çiziyor.
Geleneksel phishlet’ler, fido-güvenli hesaplara karşı başarısız olur, genellikle hatalarla sonuçlanır, ancak bu özelleştirilmiş yaklaşım, hesap kurtarma için MFA yedeklemelerini sürdürmenin ortak idari uygulamasından yararlanır.
Araştırmacılar, tekniğin Windows Hello’daki güvenlik açıkları gibi önceki bulgulara dayandığını, ancak belirli kurulumlarla sınırlı olmadan daha geniş Microsoft Entra ID uygulamalarına yayıldığını belirtiyor.
Düşüş, tanınmayan kullanıcı aracılarının işlenmesinde eksik güvenlik önlemlerine dayanır ve sistemi kimlik avlamaya dayanıklı protokolleri atlamaya yönlendirir.
Gerçek dünyadaki sömürünün olmaması, saldırganların, gelişmiş phishlet modifikasyonları olmadan bol miktarda ve uzlaşmaya devam eden ve daha kolay kalan ikincil faktörlere sahip olmayan hesaplar gibi düşük çaba hedefleri tercihinden kaynaklanabilir.
Bununla birlikte, örgütler Fido’yu giderek daha fazla benimsedikçe, gelişmiş kalıcı tehditler (APT’ler) ve devlet destekli gruplar da dahil olmak üzere milyarlarca günlük kimlik avı denemeleri ile kanıtlanan yükselen AITM tehditlerine karşı koyarak bu taktiği öldürme zincirlerine entegre edebilirler.
Bu evrim, gerçek zamanlı kullanıcı aracısı doğrulaması, geri dönüşsüz daha katı Fido uygulaması ve acil kimlik doğrulama istemlerini tanımak için kapsamlı güvenlik farkındalığı eğitimi de dahil olmak üzere gelişmiş savunmalara duyulan ihtiyacı vurgulamaktadır.
Proofpoint, FIDO’nun kimlik kimlik avı ve ATO’ya karşı şiddetle tavsiye edilmesine rağmen, proaktif izleme ve uyarlanabilir güvenlik duruşlarının, dinamik tehdit manzarasındaki bu ortaya çıkan düşüş risklerini azaltmak için gerekli olduğunu vurgulamaktadır.
AWS Security Services: 10-Point Executive Checklist - Download for Free