
Siber güvenlik araştırmacıları, tehdit aktörlerinin kullanıcıları kimlik doğrulama isteklerini onaylamaya alarak aldatarak hızlı kimlik çevrimiçi (FIDO) temel korumalarını atlamasına izin veren yeni bir saldırı tekniğini açıkladılar.
Fido Keys, kamu-özel anahtar kriptografisi kullanılarak belirli alanlara giriş yaparak kimlik avını ortadan kaldırmak için tasarlanmış donanım veya yazılım tabanlı kimlik doğrulayıcılardır. Bu durumda, saldırganlar kurbanları bilmeden kötü amaçlı oturumları doğrulamak için kandırmak için meşru bir özellik-cross-cihaz oturum açma-kullanıyorlar.
Expel tarafından bir kimlik avı kampanyasının bir parçası olarak gözlemlenen faaliyet, yakın zamanda müşteri ilişkileri yönetimi (CRM) araçları ve yığın e -posta sağlayıcılarıyla ilişkili tehlikeye atılan kimlik bilgilerini kripto para birimi tohumları ve boşaltma kurbanlarının dijital cüzdanlarıyla ilişkili olarak uzatmak olarak işaretleyen Poisonseed adlı bir tehdit aktörüne atfedildi.
Araştırmacılar Ben Nahorney ve Brandon Overstreet, “Saldırgan bunu Fido Keys ile mevcut olan cihazlar arası oturum açma özelliklerinden yararlanarak yapıyor.” Dedi. “Ancak, bu durumda kötü aktörler bu özelliği ortadaki düşman (AITM) saldırılarında kullanıyorlar.”
Bu teknik tüm senaryolarda çalışmaz. Özellikle, Bluetooth veya yerel cihaz onaylaması gibi katı yakınlık kontrollerini uygulamayan cihazlar arası akışlar yoluyla doğrulamayı hedefler. Bir kullanıcının ortamı, doğrudan giriş cihazına takılmış donanım güvenlik anahtarlarını zorunlu kılarsa veya platforma bağlı kimlik doğrulamalarını (tarayıcı içeriğine bağlı yüz kimliği gibi) kullanırsa, saldırı zinciri kırılır.

Aygıtlar arası oturum açma, kullanıcıların cep telefonu gibi kriptografik anahtarı tutan ikinci bir cihaz kullanarak bir passey olmayan bir cihazda oturum açmasına olanak tanır.
Expel tarafından belgelenen saldırı zinciri, alıcıları Enterprise’ın Okta portalını taklit eden sahte bir oturum açma sayfasına girmeye teşvik eden bir kimlik avı e-postasıyla başlar. Kurbanlar kimlik bilgilerine girdikten sonra, oturum açma bilgileri sahte sitesi tarafından gerçek giriş sayfasına gizlice aktarılır.
Kimlik avı sitesi daha sonra meşru giriş sayfasına kimlik doğrulama için hibrid aktarım yöntemini kullanmasını söyler, bu da sayfanın daha sonra kimlik avı sitesine geri gönderilen ve kurbana sunulan bir QR kodunu sunmasına neden olur.

Kullanıcı QR kodunu mobil cihazlarında Authenticator uygulamasıyla tararsa, saldırganların kurbanın hesabına yetkisiz erişim kazanmasına izin verir.
Exel, “Bu saldırı durumunda, kötü aktörler doğru kullanıcı adını ve şifreyi girdiler ve cihazlar arası oturum açtı.” Dedi.
“Oturum açma portalı, kimlik avı sitesinin sahte sitedeki kullanıcıya hemen yakaladığı ve aktardığı bir QR kodu görüntüler. Kullanıcı, MFA kimlik doğrulayıcısı, giriş portal ve MFA kimlik doğrulayıcı iletişim ve saldırganlar ile tarar.”
Saldırı dikkate değer kılan şey, Fido Keys tarafından sunulan korumaları atlaması ve tehdit aktörlerinin kullanıcıların hesaplarına erişmesini sağlamasıdır. Uzlaşma yöntemi, FIDO uygulamasındaki herhangi bir kusuru kullanmaz. Aksine, kimlik doğrulama işlemini düşürmek için meşru bir özelliği kötüye kullanır.
FIDO2 kimlik avına direnmek için tasarlanmış olsa da, bluetooth gibi yakınlık doğrulaması uygulanmadıysa, hibrid aktarım olarak bilinen cihazlar arası giriş akışı kötüye kullanılabilir. Bu akışta, kullanıcılar bir QR kodu tarayarak bir Masaüstünde oturum açabilirler.
Bununla birlikte, saldırganlar bir kimlik avı sitesi aracılığıyla bu QR kodunu gerçek zamanlı olarak kesebilir ve aktarabilir ve kullanıcıları sahte bir alanda kimlik doğrulamayı onaylamaya kandırabilir. Bu, güvenli bir özelliği bir protokol kusuru nedeniyle değil, ancak esnek uygulaması nedeniyle bir kimlik avı boşluğuna dönüştürür.

Expel ayrıca, bir tehdit aktörünün bir kimlik avı e -postası aracılığıyla bir hesaptan ödün verdikten ve kullanıcının şifresini sıfırladıktan sonra kendi Fido anahtarlarını kaydettiği ayrı bir olay gözlemlediğini söyledi.
Kullanıcı hesaplarını daha iyi korumak için kuruluşlar, FIDO2 kimlik doğrulamasını kullanılan cihazı doğrulayan kontrollerle eşleştirmelidir. Mümkün olduğunda, kimlik avı riskini sınırlayan paskay tutan aynı cihazda girişler olmalıdır. Güvenlik ekipleri, alışılmadık QR kod girişleri veya yeni passey kayıtlarını izlemelidir. Hesap kurtarma seçenekleri, kimlik avına dayanıklı yöntemler kullanmalı ve oturum açma ekranları-özellikle cihazlar arası işaretler için-kullanıcıların şüpheli etkinlikleri tespit etmelerine yardımcı olmak için konum, cihaz türü veya net uyarılar gibi yararlı ayrıntılar göstermelidir.
Bir şey varsa, bulgular, kimlik avına duyarlı bir kimlik doğrulama yöntemi kullanmak, tüm kimlik altyapısını baltalayabileceği için, bir hesap yaşam döngüsünde, bir hesap yaşam döngüsündeki tüm adımlarda kimlik avına dayanıklı kimlik doğrulamanın benimsenmesi ihtiyacının altını çizmektedir.
Araştırmacılar, “Fido Keys’e ve saldırgan tarafından kontrol edilen Fido Keys’e karşı AITM saldırıları, kötü aktörlerin ve savunucuların kullanıcı hesaplarını tehlikeye atma/koruma mücadelesinde ante’yi yükselttikleri uzun bir örnek hattıdır.”