14.9 C
Madrid
miércoles, octubre 22, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

Cómo los atacantes eluden las claves de acceso sincronizadas

Por Conectamentado
17
Cómo los atacantes eluden las claves de acceso sincronizadas

Tldr

Incluso si no quita ausencia más de esta parte, si su ordenamiento está evaluando implementaciones de claves de comunicación, es inseguro implementar claves de comunicación sincronizadas.

  • Las claves de comunicación sincronizadas heredan el aventura de las cuentas en la cirro y los procesos de recuperación que las protegen, lo que crea una exposición empresarial importante.
  • Los kits Adversary-in-the-middle (AiTM) pueden forzar respaldos de autenticación que eluden la autenticación segura por completo
  • Las extensiones de navegador maliciosas o comprometidas pueden secuestrar solicitudes de WebAuthn, manipular el registro o el inicio de sesión con esencia de comunicación e impulsar el autocompletado para filtrar credenciales y códigos de un solo uso.
  • Las claves de comunicación vinculadas al dispositivo en las claves de seguridad de hardware ofrecen viejo seguridad y mejor control funcionario que las claves de comunicación sincronizadas y deberían ser obligatorias para los casos de uso de comunicación empresarial.

Riesgos de esencia de comunicación sincronizada

Vulnerabilidades de esencia de comunicación sincronizada

Las claves de comunicación son credenciales almacenadas en un autenticador. Algunos están vinculados a dispositivos, otros se sincronizan entre dispositivos a través de servicios en la cirro para consumidores como iCloud y Google Cloud. Sync mejoramiento la usabilidad y la recuperación en escenarios de desprecio seguridad orientados al consumidor, pero cambia el confín de confianza a las cuentas en la cirro y los flujos de trabajo de recuperación. La Alianza FIDO y Yubico han emitido importantes avisos para que las empresas evalúen esta división y prefieran opciones vinculadas a dispositivos para una viejo seguridad.

Operacionalmente, las claves de comunicación sincronizadas amplían la superficie de ataque de tres maneras:

  1. La apropiación indebida de cuentas en la cirro o el injusticia de recuperación pueden autorizar nuevos dispositivos, lo que luego erosiona la integridad de la credencial.
  2. Si un legatario inicia sesión en su dispositivo corporativo con su cuenta personal de Apple iCloud, las claves de comunicación creadas podrían sincronizarse con sus cuentas personales; esto hace explotar dramáticamente la superficie de ataque más allá de los límites de seguridad empresarial.
  3. La mesa de ayuda y la recuperación de cuentas se convierten en los verdaderos puntos de control a los que se dirigen los atacantes porque pueden copiar el mismo argolla protegido en un dispositivo nuevo, desconocido y que no es de confianza.
LEER  Rare Werewolf Apt utiliza software legítimo en ataques a cientos de empresas rusas

Ataques de degradación de autenticación

Vea la sesión «capturada». (Fuente de la imagen: Proofpoint)

Los investigadores de Proofpoint documentaron una degradación praxis de Microsoft Entra ID donde un proxy de phishing falsifica un navegador no compatible, como Safari en Windows, Entra desactiva las claves de comunicación y se explorador al legatario para que seleccione un método más débil, como SMS u OTP. Luego, el proxy captura las credenciales y la cookie de sesión resultante y las importa para obtener comunicación.

Este vector de amenazas depende del soporte desigual del sistema activo y del navegador de webAuthnpasskey y de la saludo por parte del proveedor de identidad (IdP) de métodos de autenticación débiles a crédito de una consideración praxis de UX. Es un clásico adversario en el medio (AitM) impulsado por la dirección política. No rompe el enlace de origen de WebAuthn porque la plataforma nunca llega a una ceremonia de WebAuthn cuando una rama de compatibilidad la desactiva. Su método de autenticación más débil define su seguridad verdadero.

La mediación inmediata en WebAuthn es una característica que permite a los sitios ofrecer un método de autenticación variable cuando WebAuthn no está arreglado. Esto es útil para UX, pero los atacantes además pueden extralimitarse de él para dirigir a los usuarios en torno a rutas que no son webAuthn si la política lo permite.

Seguridad basada en navegador pusilánime a vectores de amenazas de extensión y autocompletado

Los investigadores de SquareX demostraron que un entorno de navegador comprometido puede secuestrar las llamadas de WebAuthn y manipular el registro o el inicio de sesión con esencia de comunicación. La técnica no rompe la criptografía de esencia de comunicación. Inyecta o intercepta el proceso del flanco del navegador, por ejemplo, a través de una extensión maliciosa o un error XSS, para reiniciar el registro, forzar una reserva de contraseña o completar silenciosamente una afirmación.

Chrome documenta una API de extensión convocatoria «webAuthenticationProxy» que puede interceptar los métodos navigator.credentials.create() y navigator.credentials.get() una vez adjuntos y luego proporcionar sus propias respuestas. Esta capacidad existe para casos de uso de escritorio remoto, pero demuestra que una extensión con el permiso correcto puede ubicarse en la ruta WebAuthn.

Las extensiones además ejecutan scripts de contenido adentro del contexto de la página, donde pueden analizar y modificar el DOM e impulsar los flujos de la interfaz de legatario, que incluyen la invocación de API de credenciales desde la página.

LEER  La falla crítica del centro de comando de CommVault permite a los atacantes ejecutar el código de forma remota

Una investigación independiente presentada en DEF CON describió el clickjacking de extensiones basado en DOM que apunta a los fundamentos de la interfaz de legatario inyectados por las extensiones del administrador de contraseñas. Un solo clic de un legatario en una página diseñada puede activar el autocompletado y la filtración de datos almacenados, como inicios de sesión, tarjetas de crédito y códigos de un solo uso. El investigador informa que, en algunos escenarios, la autenticación mediante esencia de comunicación además puede explotarse y enumera versiones vulnerables de varios proveedores.

Las credenciales vinculadas al dispositivo son la única alternativa empresarial eficaz

Las claves de comunicación vinculadas a dispositivos están vinculadas a un dispositivo específico, normalmente con la coexistentes y el uso de claves privadas realizadas en componentes de hardware seguros. En la empresa, las claves de seguridad de hardware proporcionan señales de dispositivo consistentes, certificación y un ciclo de vida que puede inventariar y revocar.

Orientación para un software de claves de comunicación de nivel empresarial

Política

  • Exija autenticación resistente al phishing para todos los usuarios, y especialmente para aquellos con roles privilegiados. Acepte sólo autenticadores vinculados al dispositivo que generen credenciales no exportables en el momento del registro y nunca abandone el dispositivo. Las credenciales deben estar basadas en hardware seguro y vinculadas de modo verificable al dispositivo físico que intenta iniciar sesión.
  • Elimine todos los métodos alternativos, como SMS, llamadas de voz, aplicaciones TOTP, enlaces de correo electrónico y aprobaciones automáticas. Estos existen para ser explotados durante ataques de ingeniería social y degradación. Si existe un memorial variable, un atacante lo forzará. Haz del camino musculoso el único camino.
  • Garantice la compatibilidad universal con el sistema activo y el navegador para credenciales vinculadas a dispositivos resistentes al phishing. No ofrezca alternativas; sí, esto es posible; estaremos encantados de mostrarle una demostración de la plataforma de defensa de identidad de Beyond Identity. La cobertura universal es necesaria para una defensa completa porque usted está tan protegido como su enlace más débil.

Postura del navegador y la extensión

  • Aplique listas permitidas de extensiones en navegadores administrados. No permita ninguna extensión que solicite permisos de webAuthenticationProxy, activeTab o secuencias de comandos de contenido amplio.
  • Supervise continuamente las instalaciones de extensiones y las tendencias de uso para detectar eliminaciones masivas sospechosas o escaladas de permisos inexplicables. El compromiso a nivel de extensión es cada vez más indistinguible de un legatario verdadero. Bloquee el comportamiento del navegador tan estrictamente como lo haría con un punto final.
LEER  Los piratas informáticos usan anuncios de Facebook para difundir malware JSCEAL a través de aplicaciones de comercio de criptomonedas falsas

Inscripción y Recuperación

  • Utilice autenticadores de reincorporación seguridad como raíz de la recuperación. Ninguna mesa de ayuda, bandeja de entrada de correo electrónico o centro de llamadas debería poder eludir los controles resistentes al phishing. La recuperación suele ser el punto de entrada del atacante. Eliminar los vectores de ingeniería social y forzar la reprensión que cumpla con las políticas.
  • Solo permita la inscripción de credenciales vinculadas al dispositivo.
  • Capture metadatos de certificación en el momento del registro, incluido el maniquí de dispositivo y el nivel de aval. Rechace autenticadores no reconocidos o no verificables. La confianza comienza con el registro. Si no sabe qué creó la credencial, no controla el comunicación.

Higiene del dispositivo y defensa en tiempo de ejecución

  • Vincular sesiones al contexto de dispositivo confiable. Una cookie de sesión nunca debería ser un artefacto portátil. La aplicación de la sesión en tiempo de ejecución debería vincular la identidad a la postura continua del dispositivo, no solo a una autenticación original.
  • Aplicar autenticación continua. Si la posición, la ubicación o el estado de seguridad del dispositivo cambian, solicite una nueva autenticación o niegue el comunicación. Un inicio de sesión no es un pase de pasillo. El aventura es dinámico, la autenticación además debe serlo.
  • Suponga que los intentos de autenticación con factores débiles deberían bloquearse de forma predeterminada. Vea cómo los clientes de Beyond Identity incomunicar instantáneamente ataques de identidad basándose en el simple hecho de que no es una credencial sólida que intenta lograr.

Cómo se ve esto en la praxis

La casa de un sistema de seguridad de identidad que ofrece una defensa inflexible contra ataques basados ​​en identidad, navegador y dispositivos se puede determinar mediante estos tres rasgos:

  1. Credenciales vinculadas al dispositivo: Las credenciales nunca salen del dispositivo. No son exportables, están respaldados por hardware y no se pueden sincronizar ni reproducir en ningún otro circunstancia.
  2. Confianza continua: La autenticación nunca se detiene al iniciar sesión. Continúa durante toda la sesión, vinculado a las señales posturales del dispositivo.
  3. Aplicación universal de la higiene en los terminales: Todos los puntos finales están adentro del talento. Incluso los dispositivos no administrados deben evaluarse en tiempo verdadero para determinar su postura de aventura y la integridad de la sesión.

El resultado final

Las claves de comunicación sincronizadas no son un campo de fuerza apropiado para la defensa. Mejoran la usabilidad para casos de uso de consumidores a costa de la seguridad del comunicación empresarial.

Vea más en influencia en un próximo seminario web. Cómo los atacantes evitan FIDO: por qué fallan las claves de comunicación sincronizadas y qué hacer en su circunstancia donde Beyond Identity revisará cómo ocurren las fallas de claves de comunicación sincronizadas y cómo los principales equipos de seguridad, incluidos Snowflake y la Universidad de Cornell, cierran estos caminos.

¡Incluso si no puedes unirte, regístrate y obtendrás la reproducción!


Las noticias de los piratas informáticos

spot_img
Artículo anterior
El futuro equipo de ensamblaje del iPhone podría costarle a Apple miles de millones de dólares en impuestos
Artículo siguiente
Pascal Bornet: nuestro último socio influyente que redefine el lado humano de la IA
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado