Los investigadores de seguridad cibernética han revelado una nueva técnica de ataque que permite a los actores de amenaza degradar las protecciones esencia de identidad rápida (FIDO) al engañar a los usuarios para aprobar las solicitudes de autenticación de los portales de inicio de sesión de la compañía falsificada.
Las claves FIDO son autenticadores basados en hardware o software diseñados para eliminar el phishing al unir los inicios de inicios a dominios específicos utilizando la criptografía de esencia pública-privada. En este caso, los atacantes explotan una característica legítima, el inicio de sesión de los dispositivos de cruce, para engañar a las víctimas para que sin saberlo autenticen sesiones maliciosas.
La actividad, observada por Expel como parte de una campaña de phishing en la naturaleza, se ha atribuido a un actor de amenaza llamado Poisonteed, que recientemente se marcó como aprovechando las credenciales comprometidas asociadas con las herramientas de encargo de relaciones con el cliente (CRM) y proveedores de correo electrónico masivos para cursar mensajes de spam que contenían frases de semillas de criptomonedas y drenaje de las billeteras digitales de las víctimas.
“El atacante hace esto aprovechando las funciones de inicio de sesión entre dispositivos disponibles con Keys Fido”, dijeron los investigadores Ben Nahorney y Brandon Overstreet. “Sin confiscación, los malos actores en este caso están utilizando esta característica en ataques adversarios en el medio (AITM)”.
Esta técnica no funciona en todos los escenarios. Se dirige específicamente a los usuarios que se autentican a través de flujos de dispositivos cruzados que no aplican verificaciones de proximidad estrictas, como Bluetooth o la certificación del dispositivo almacén. Si el entorno de un favorecido exige las claves de seguridad de hardware conectadas directamente al dispositivo de inicio de sesión, o utiliza autenticadores unidos a la plataforma (como ID de cara vinculada al contexto del navegador), la esclavitud de ataque se rompe.
El inicio de sesión de servicio cruzado permite a los usuarios iniciar sesión en un dispositivo que no tiene una esencia de aprobación utilizando un segundo dispositivo que contiene la esencia criptográfica, como un teléfono móvil.
La esclavitud de ataque documentada por Expel comienza con un correo electrónico de phishing que atrae a los destinatarios a iniciar sesión en una página de inicio de sesión desleal que imita el portal OKTA de la empresa. Una vez que las víctimas ingresan sus credenciales, la información de inicio de sesión es transmitida sigilosamente por el sitio desleal a la página de inicio de sesión auténtico.
El sitio de phishing luego instruye a la página de inicio de sesión legítima que utilice el método de transporte híbrido para la autenticación, lo que hace que la página sirva un código QR que seguidamente se envía de reverso al sitio de phishing y se presenta a la víctima.
Si el favorecido escanea el código QR con la aplicación Authenticator en su dispositivo móvil, permite a los atacantes obtener llegada no calificado a la cuenta de la víctima.
“En el caso de este ataque, los malos actores han ingresado el nombre de favorecido y la contraseña correctos y solicitaron inicio de sesión entre dispositivos”, dijo Expel.
“El portal de inicio de sesión muestra un código QR, que el sitio de phishing captura y transmite inmediatamente al favorecido en el sitio desleal. El favorecido lo escanea con su autenticador MFA, el portal de inicio de sesión y el autenticador de MFA se comunican, y los atacantes están adentro”.
Lo que hace que el ataque sea importante es que se presenta las protecciones ofrecidas por Fido Keys y permite a los actores de amenaza obtener llegada a las cuentas de los usuarios. El método de compromiso no explota ningún defecto en la implementación de FIDO. Más adecuadamente, abusa de una característica legítima para humillar el proceso de autenticación.
Si adecuadamente FIDO2 está diseñado para resistir el phishing, su flujo de inicio de sesión entre dispositivos, conocido como transporte híbrido, puede ser mal utilizado si la comprobación de proximidad como Bluetooth no se aplica. En este flujo, los usuarios pueden iniciar sesión en un escritorio escaneando un código QR con un dispositivo móvil que contiene su esencia de passey.
Sin confiscación, los atacantes pueden interceptar y transmitir ese código QR en tiempo auténtico a través de un sitio de phishing, engañando a los usuarios para que aprueben la autenticación en un dominio falsificado. Esto convierte una característica segura en una carencia de phishing, no conveniente a un defecto de protocolo, sino conveniente a su implementación flexible.
Expel además dijo que observó un incidente separado en el que un actor de amenaza inscribió su propia esencia FIDO a posteriori de comprometer una cuenta a través de un correo electrónico de phishing y restablecer la contraseña del favorecido.
Para proteger mejor las cuentas de los usuarios, las organizaciones deben emparejar la autenticación FIDO2 con cheques que verifican el dispositivo que se utiliza. Cuando sea posible, los inicios de sesión deben ocurrir en el mismo dispositivo que contiene el PassKey, lo que limita el peligro de phishing. Los equipos de seguridad deben observar los inusuales inusuales inusuales de inicios de sesión o nuevas inscripciones de PassKey. Las opciones de recuperación de la cuenta deben utilizar métodos resistentes a phishing y las pantallas de inicio de sesión, especialmente para firmaciones entre dispositivos, deben mostrar detalles aperos como ubicación, tipo de dispositivo o advertencias claras para ayudar a los usuarios a detectar actividades sospechosas.
En todo caso, los hallazgos subrayan la privación de adoptar la autenticación resistente a phishing en todos los pasos de un ciclo de vida de la cuenta, incluso durante las fases de recuperación, ya que el uso de un método de autenticación que es susceptible al phishing puede socavar toda la infraestructura de identidad.
“Los ataques de AITM contra las teclas FIDO y las teclas FIDO controladas por los atacantes son los últimos en una larga radio de ejemplos en los que los malos actores y los defensores se enfrentan en la lucha por comprometer/proteger las cuentas de los usuarios”, agregaron los investigadores.
(La historia se actualizó a posteriori de la publicación para dejar más claro que la técnica de ataque no evita las protecciones de Fido y que degrada la autenticación a un método que es susceptible al phishing).
