Los investigadores de ciberseguridad han revelado una nueva técnica de ataque que permite a los actores de amenaza evitar las protecciones secreto de identidad rápida (FIDO) al engañar a los usuarios para aprobar las solicitudes de autenticación de los portales de inicio de sesión de la empresa falsificada.
Las claves FIDO son autenticadores basados en hardware o software diseñados para eliminar el phishing al unir los inicios de inicios a dominios específicos utilizando la criptografía de secreto pública-privada. En este caso, los atacantes explotan una característica legítima, el inicio de sesión de los dispositivos de cruce, para engañar a las víctimas para que sin saberlo autenticen sesiones maliciosas.
La actividad, observada por Expel como parte de una campaña de phishing en la naturaleza, se ha atribuido a un actor de amenaza llamado Poisonteed, que recientemente se marcó como aprovechando las credenciales comprometidas asociadas con las herramientas de encargo de relaciones con el cliente (CRM) y proveedores de correo electrónico masivos para remitir mensajes de spam que contenían frases de semillas de criptomonedas y drenaje de las billeteras digitales de las víctimas.
«El atacante hace esto aprovechando las funciones de inicio de sesión entre dispositivos disponibles con Keys Fido», dijeron los investigadores Ben Nahorney y Brandon Overstreet. «Sin bloqueo, los malos actores en este caso están utilizando esta característica en ataques adversarios en el medio (AITM)».
Esta técnica no funciona en todos los escenarios. Se dirige específicamente a los usuarios que se autentican a través de flujos de dispositivos cruzados que no aplican verificaciones de proximidad estrictas, como Bluetooth o la certificación del dispositivo recinto. Si el entorno de un adjudicatario exige las claves de seguridad de hardware conectadas directamente al dispositivo de inicio de sesión, o utiliza autenticadores unidos a la plataforma (como ID de cara vinculada al contexto del navegador), la cautiverio de ataque se rompe.
El inicio de sesión de servicio cruzado permite a los usuarios iniciar sesión en un dispositivo que no tiene una secreto de aprobación utilizando un segundo dispositivo que contiene la secreto criptográfica, como un teléfono móvil.
La cautiverio de ataque documentada por Expel comienza con un correo electrónico de phishing que atrae a los destinatarios a iniciar sesión en una página de inicio de sesión desleal que imita el portal OKTA de la empresa. Una vez que las víctimas ingresan sus credenciales, la información de inicio de sesión es transmitida sigilosamente por el sitio desleal a la página de inicio de sesión efectivo.
El sitio de phishing luego instruye a la página de inicio de sesión legítima que utilice el método de transporte híbrido para la autenticación, lo que hace que la página sirva un código QR que seguidamente se envía de dorso al sitio de phishing y se presenta a la víctima.
Si el adjudicatario escanea el código QR con la aplicación Authenticator en su dispositivo móvil, permite a los atacantes obtener comunicación no competente a la cuenta de la víctima.
«En el caso de este ataque, los malos actores han ingresado el nombre de adjudicatario y la contraseña correctos y solicitaron inicio de sesión entre dispositivos», dijo Expel.
«El portal de inicio de sesión muestra un código QR, que el sitio de phishing captura y transmite inmediatamente al adjudicatario en el sitio desleal. El adjudicatario lo escanea con su autenticador MFA, el portal de inicio de sesión y el autenticador de MFA se comunican, y los atacantes están adentro».
Lo que hace que el ataque sea importante es que evita las protecciones ofrecidas por Fido Keys y permite a los actores de amenaza obtener comunicación a las cuentas de los usuarios. El método de compromiso no explota ningún defecto en la implementación de FIDO. Más proporcionadamente, abusa de una característica legítima para disminuir el proceso de autenticación.
Si proporcionadamente FIDO2 está diseñado para resistir el phishing, su flujo de inicio de sesión entre dispositivos, conocido como transporte híbrido, puede ser mal utilizado si la demostración de proximidad como Bluetooth no se aplica. En este flujo, los usuarios pueden iniciar sesión en un escritorio escaneando un código QR con un dispositivo móvil que contiene su secreto de comunicación.
Sin bloqueo, los atacantes pueden interceptar y transmitir ese código QR en tiempo efectivo a través de un sitio de phishing, engañando a los usuarios para que aprueben la autenticación en un dominio falsificado. Esto convierte una característica segura en una lapso de phishing, no conveniente a un defecto de protocolo, sino conveniente a su implementación flexible.
Expel asimismo dijo que observó un incidente separado en el que un actor de amenaza inscribió su propia secreto FIDO luego de comprometer una cuenta a través de un correo electrónico de phishing y restablecer la contraseña del adjudicatario.
Para proteger mejor las cuentas de los usuarios, las organizaciones deben emparejar la autenticación FIDO2 con cheques que verifican el dispositivo que se utiliza. Cuando sea posible, los inicios de sesión deben ocurrir en el mismo dispositivo que contiene el PassKey, lo que limita el aventura de phishing. Los equipos de seguridad deben observar los inusuales inusuales inusuales de inicios de sesión o nuevas inscripciones de PassKey. Las opciones de recuperación de la cuenta deben utilizar métodos resistentes a phishing y las pantallas de inicio de sesión, especialmente para firmaciones entre dispositivos, deben mostrar detalles efectos como ubicación, tipo de dispositivo o advertencias claras para ayudar a los usuarios a detectar actividades sospechosas.
En todo caso, los hallazgos subrayan la falta de adoptar la autenticación resistente a phishing en todos los pasos de un ciclo de vida de la cuenta, incluso durante las fases de recuperación, ya que el uso de un método de autenticación que es susceptible al phishing puede socavar toda la infraestructura de identidad.
«Los ataques de AITM contra las teclas FIDO y las teclas FIDO controladas por los atacantes son los últimos en una larga diámetro de ejemplos en los que los malos actores y los defensores se enfrentan en la lucha por comprometer/proteger las cuentas de los usuarios», agregaron los investigadores.
