Kavram kanıtı saldırısı, Microsoft Entra Kimliğine karşı FIDO’nun düşüşünü gösteriyor
Mathew J. Schwartz (Euroinfosec) •
14 Ağustos 2025
Kimlik bilgisini çalan kimlik avı saldırılarına karşı bir bulaş, siber suçluların metalaşması için hazırlanan bir uygulama chinkine sahiptir, diyor haberlerde güvenlik araştırmacıları, hizmet olarak kimlik avı için iyi ancak herkes için korkunç.
Ayrıca bakınız: Web Semineri İsteğe Bağlı: Yeni Nesil Erişim Modellemesi: En az ayrıcalık ve sıfır güven için AI odaklı roller
Dijital yeraltı uzun zamandır, kurbanları oturum açma kimlik bilgilerinden vazgeçmek için manipüle etmenin kolay yollarını tercih eden düşük seviyeli siber crooklara kimlik avı sundu. PHAAS araç setleri bir kerelik ücret veya abonelikle kullanılabilir. Bu yılın ilk yarısında, tüm kimlik avı saldırılarının yaklaşık% 60 ila% 70’i araç setlerinden kaynaklandı, birçoğu tek tıklamalı saldırı kurulumu ve kolay otomasyon ve bunları daha etkili hale getirmek için düzenli iyileştirmeler sunuyor.
Bu araç setlerinin yakında Fido’yu kaldırma yeteneği sunmasını bekleyin – Hızlı Kimlik Çevrimiçi – Kimlik Doğrulama Passeyeys, Siber Güvenlik Firması Proofpoint’te bir araştırmacı olan Yaniv Miron Warns.
FIDO Standard ile donatılmış cihazlar, uygulamalar veya web siteleri, bireysel bir hesap sahibine bağlı halka açık bir şifreleme anahtarı. Kullanıcılar, anahtarın özel tarafını, cihazlarında veya bir USB tuşunda depolanan, bir PIN kodu, biyometrik tanımlayıcı sağlayarak veya bir düğmeye basarak USB anahtarlarını etkinleştirerek kilidini açar.
Phishing saldırıları çoğu bir phishlet’e, “phishing kitleri tarafından meşru web sitelerinin kimliğine bürünmesini ve kullanıcı kimlik bilgilerinin ve oturum tokenlerinin müdahalesini tanımlamak için kullanılan bir yapılandırma dosyası veya şablonuna güveniyor. Ortadaki düşman taktikleri, bir hedefe benzeyen bir web sitesini ziyaret etmek ve sağlayabilecekleri herhangi bir çok faktörlü kimlik doğrulama kodu da dahil olmak üzere gerçek zamanlı kullanıcı kimlik bilgilerini yakalamak için bir hedefi kandırır.
Phishlets genellikle Fido tabanlı kimlik doğrulamasıyla karşılaştıklarında başarısız olurlar, çünkü giriş yapmak için gereken genel anahtardan yoksundurlar.
Ancak kamu-özel anahtar çiftlerinin sert duvarını atlatmanın bir yolu var. Saldırganlar, kimlik doğrulama yöntemini daha az güvenli bir yöntemle zorla düşürebilir, kimlik bilgilerini alabilir ve hesap devralmalarına devam edebilir.
Proofpoint henüz vahşi doğada Fido’yu yenen kimlik avı saldırıları görmedi, ancak bu yeteneği ekleyerek teknik olarak konuşurken çok uygulanabilir olduğu için ortaya çıkmalarını bekliyor.
Bir kavram kanıtı olarak, ProofPoint araştırmacıları, Bulut tabanlı bir kimlik ve erişim yönetimi hizmeti olan Microsoft Entra ID’nin kullanıcılarına karşı kullanılabilen EvilGinx Phaas araç seti için bir eklenti geliştirdiler. Eklenti, FIDO kimlik doğrulama yönteminin geçersiz olduğunu iddia ediyor ve kullanıcıları daha az güvenli bir yaklaşımla ilerlemeye yönlendiriyor. Seçilirse, bu, saldırganların bir kerelik parola dahil olmak üzere kimlik bilgilerini kesmesini sağlar.
Downgrade saldırısı, tipik olarak yaptıkları bir tür yedekleme kimlik doğrulama yöntemine izin veren sistem yöneticilerine dayanır. Miron, “Bu, çoğu yöneticinin hesap kurtarma için pratik bir seçenek sürdürmeyi tercih ettiği için FIDO uygulamalarında durum böyle olma eğilimindedir.” Dedi.
Sosyal ağ Mastodon’a gönderilen bir siber güvenlik uzmanı olan Brian Clark, Fido tabanlı kimlik doğrulama “etrafında tek yolu birisini kullanmamaya kandırmaktır” dedi. Dönüştürme saldırısı riskini azaltmak için yöneticilerin tüm fido olmayan yedekleme yöntemlerini silebileceğini söyledi. Ayrıca, yalnızca FIDO kimlik doğrulamasına erişimi veya yönetilen ve kilitli bir cihazdan erişimi kısıtlayan özellikle hassas uygulamalara erişmek için şartlı politikaların belirlenmesini tavsiye etti.
PHAAS platformları, “kimlik avı kampanyalarının yürütülmesini basitleştiren sezgisel nokta ve tıklama arayüzleri sunarak birçok teknik engeli zaten reddetti” dedi. Kit sağlayıcılarının nihayetinde fido-downgrade saldırıları sağlamak için tekliflerini yükseltmesini bekleyin.
Seçenekler bol ve rekabet en iyi Phaas araç setleri arasında şiddetli kalıyor gibi görünüyor. Barracuda Networks Haziran raporunda, “En yaygın kullanılan kit, saldırıların% 76’sını oluşturan Tycoon 2FA’dır.” Dedi. “EvilProxy yaklaşık%8’i oluştururken, Mamba 2FA ve Sneaky 2FA birlikte%6’yı temsil ediyor.”
Sniper DZ, morphing Meerkat, Darcula ve Sessionshark’ın yanı sıra özellikle Japon organizasyonlarını hedeflemek için özel olarak tasarlanmış yeni gelen Cogui gibi daha bölgesel odaklı seçenekler de dahil olmak üzere yeni kitler de piyasaya sürülmeye devam ediyor.