Sofistike yeni bir saldırı tekniği, cihazlar arası oturum açma özelliklerinden yararlanarak hızlı kimlik çevrimiçi (FIDO) temel kimlik doğrulamasını tehlikeye atar.
Poisonse tohumu saldırısı grubu, kullanıcıları MFA kimlik doğrulamasıyla kötü niyetli QR kodlarını taramaya yönlendiren ortada düşman (AITM) kimlik avı kampanyaları aracılığıyla FIDO anahtar korumalarını düşürmek için bir yöntem geliştirdi.
Bu gelişme, son tehdit istihbarat raporlarına göre, şimdi güvenlik olaylarının% 66,2’sini oluşturan kimlik temelli saldırılarda önemli bir artışı temsil ediyor.
Key Takeaways
1. PoisonSeed tricks users into scanning malicious QR codes to bypass FIDO key protection.
2. Exploits cross-device sign-in by intercepting authentication between users and login portals.
3. Enable Bluetooth requirements and monitor authentication logs for suspicious activity.
Zehir tohumu saldırısı nasıl çalışır
Expel, saldırının, hedefleri OKTA gibi şüpheli alanlarda barındırılan sahte OKTA arayüzleri gibi meşru kimlik doğrulama portallarını taklit eden hileli giriş sayfalarına yönlendiren geleneksel bir kimlik avı e -postasıyla başladığını bildiriyor.[.]oturum açma[.]com.
Fido Key Koruması olan kullanıcılar bu kimlik avı sitelerine kimlik bilgilerini girdiğinde, saldırganlar çalınan kullanıcı adını ve parolayı otomatik olarak meşru giriş portalına aktarırken, aynı anda cihazlar arası oturum açma işlevselliği ister.
Kötü niyetli aktörler, meşru kimlik doğrulama sistemi tarafından oluşturulan QR kodunu yakalayarak ve sahte kimlik avı sayfasındaki kurbanlara göstererek cihazlar arası oturum açma özelliğini kullanır.
Bu teknik, kullanıcılar mobil MFA Authenticator uygulamalarıyla QR kodunu tarayarak kimlik doğrulama işlemini bilmeden tamamladıkları için, tipik olarak FIDO Keys ile ilişkili fiziksel etkileşim gereksinimini etkili bir şekilde atlar.
Aygıtlar arası oturum açma işlevleri, kullanıcıların ek kayıtlı cihazlar, tipik olarak MFA Authenticator uygulamalarına sahip cep telefonları kullanarak kayıtlı paskalar olmadan sistemlerde kimlik doğrulaması yapmalarına yardımcı olmak için tasarlanmıştır.
Normal şartlar altında, bu işlem kullanıcı kimliğini doğrulamak için giriş portalı ile MFA kimlik doğrulayıcısı arasında güvenli iletişimi içerir.
Bununla birlikte, zehir tohumu saldırganları, kimlik doğrulama akışında aracılar olarak kendilerini konumlandırarak bu meşru güvenlik özelliğini silahlandırmıştır.
Saldırı, Cloudflare gibi saygın altyapı hizmetlerini AWS-US3-ManageProd gibi kimlik avı alanlarına ev sahipliği yapmak için kullanıyor[.]Com, kötü niyetli sitelere yanlış güvenilirlik ödünç veriyor.
Bu altyapı seçimi, hileli giriş sayfalarının potansiyel kurbanlar için daha güvenilir görünmesine yardımcı olarak başarılı kimlik bilgisi hasat olasılığını artırmasına yardımcı olur.
Hafifletme
Bu saldırılara rağmen, Fido Keys değerli güvenlik yatırımları olmaya devam ediyor, ancak kuruluşlar artık şüpheli faaliyetler için kimlik doğrulama günlüklerini daha dikkatli bir şekilde denetlemelidir.
Güvenlik ekipleri, olağandışı coğrafi konumlardan, beklenmedik FIDO anahtar kayıtlarından ve hızlı bir şekilde kayıtlı birden fazla anahtardan gelen cihazlar arası oturum açma taleplerini izlemelidir.
Kritik bir savunma önlemi, cihazlar arası oturum açma işlemleri sırasında mobil cihazlar ve kayıtlı olmayan sistemler arasında Bluetooth iletişim gereksinimlerini etkinleştirmeyi içerir ve bu da AITM saldırısı etkinliğini neredeyse sıfıra düşürür.
Kuruluşlar ayrıca, tehlikeye atılan hesaplarla ilişkili kimlik doğrulama cihazlarını gözden geçirmeli, etkilenen kullanıcı oturumlarını sonlandırmalı ve olaylar algılandığında şifreleri sıfırlamalıdır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi