Bir zehirli kimlik avı kampanyası, WebAuthn’daki cihazlar arası oturum açma özelliğini, kullanıcıları sahte şirket portallarından giriş kimlik doğrulama isteklerini onaylamak için kandırarak kötüye kullanarak FIDO2 güvenlik anahtarı korumalarını atlıyor.
Zehir tohumu tehdidi aktörlerinin mali sahtekarlık için büyük hacimli kimlik avı saldırıları kullandığı bilinmektedir. Geçmişte, kripto para birimi cüzdanlarını boşaltmak için kullanılan kripto tohumu ifadeleri içeren e -postaların dağıtılması.
Expel tarafından gözlemlenen son kimlik avı saldırısında, zehirlenen tehdit aktörleri FIDO2’nin güvenliğinde bir kusurdan yararlanmıyor, aksine meşru cihazlar arası kimlik doğrulama özelliğini kötüye kullanıyor.
Avantajlar arası kimlik doğrulaması, kullanıcıların başka bir cihazda bir güvenlik anahtarı veya kimlik doğrulama uygulaması kullanarak bir cihazda oturum açmasına olanak tanıyan bir WebAuthn özelliğidir. Bir güvenlik tuşunu takmak gibi fiziksel bir bağlantı istemek yerine, kimlik doğrulama isteği Bluetooth aracılığıyla cihazlar arasında veya QR kodu taraması arasında iletilir.
Saldırı, kullanıcıları OKTA veya Microsoft 365 gibi kurumsal giriş portallarını taklit eden bir kimlik avı sitesine yönlendirerek başlar.
Kullanıcı kimlik bilgilerini portala girdiğinde, kampanya, gerçek zamanlı olarak meşru giriş portalında gönderilen kimlik bilgileriyle sessizce giriş yapmak için ortada bir düşman (AITM) arka uç kullanır.
Saldırıyı hedefleyen kullanıcı normalde çok faktörlü kimlik doğrulama isteklerini doğrulamak için FIDO2 güvenlik anahtarlarını kullanır. Bununla birlikte, kimlik avı arka ucu bunun yerine meşru giriş portalına, cihazlar arası kimlik doğrulama kullanarak kimlik doğrulaması yapmasını söyler.
Bu, meşru portalın kimlik avı sayfasına geri gönderilen ve kullanıcıya görüntülenen bir QR kodu oluşturmasına neden olur.
Kullanıcı bu QR kodunu akıllı telefon veya kimlik doğrulama uygulamasını kullanarak taradığında, saldırgan tarafından başlatılan oturum açma girişimini onaylar.
Kaynak: Çıkar
Bu yöntem, saldırganların kullanıcının fiziksel FIDO2 tuşu yerine cihazlar arası kimlik doğrulamasına dayanan bir giriş akışı başlatmasına izin vererek FIDO2 güvenlik anahtarı korumalarını etkili bir şekilde atlar.
Expel, bu saldırının FIDO2 uygulamasında bir kusurdan yararlanmadığı, bunun yerine FIDO anahtar kimlik doğrulama sürecini düşüren meşru bir özelliği kötüye kullandığı konusunda uyarıyor.
Riski azaltmak için Expel aşağıdaki savunmaları önerir:
- Kullanıcıların oturum açmasına izin verilen coğrafi konumları sınırlamak ve seyahat eden bireyler için bir kayıt süreci oluşturma.
- Bilinmeyen yerlerden bilinmeyen Fido Keys’in kaydını rutin olarak kontrol edin ve nadir güvenlik anahtar markaları.
- Kuruluşlar, Bluetooth tabanlı kimlik doğrulamanın uygulanmasını, uzaktan kimlik doğrulama saldırılarının etkinliğini önemli ölçüde azaltan cihazlar arası kimlik doğrulaması için bir gereklilik olarak düşünebilirler.
Expel ayrıca, bir tehdit oyuncusunun kimlik avı ve şifreyi sıfırladığına inanılan bir hesaptan ödün verdikten sonra kendi Fido anahtarlarını kaydettiği ayrı bir olay gözlemledi. Ancak, bu saldırı bir QR kodu gibi kullanıcıyı kandırmak için herhangi bir yöntem gerektirmedi.
Bu saldırı, tehdit aktörlerinin kullanıcıları bir güvenlik anahtarıyla fiziksel etkileşim ihtiyacını atlayan giriş akışlarını tamamlamaya kandırarak kimlik avına dayanıklı kimlik doğrulamasını atlamanın yollarını nasıl bulduğunu vurgulamaktadır.
CISOS, tahta alım almanın bulut güvenliğinin iş değerini nasıl yönlendirdiğine dair net ve stratejik bir bakışla başladığını biliyor.
Bu ücretsiz, düzenlenebilir yönetim kurulu raporu güvertesi, güvenlik liderlerinin risk, etki ve öncelikleri açık iş açısından sunmalarına yardımcı olur. Güvenlik güncellemelerini anlamlı konuşmalara dönüştürün ve toplantı odasında daha hızlı karar verme.