安全研究人员新近披露,一种降级攻击能够绕过Microsoft Entra ID中的FIDO无密码认证,使用户被诱导使用更弱的登录方式,从而增加了被钓鱼和会话劫持的风险。据报道,该攻击由Proofpoint团队利用Evilginx等中间人攻击平台,通过伪装为不支持FIDO的浏览器(如Windows上的Safari),诱使认证流程自动降为较不安全的方法(如短信验证码或Microsoft Authenticator app)。
当攻击者发送钓鱼链接到受害者,受害者点击后将访问搭载定制phishlet的伪造网站,此站点代理显示真实的Microsoft Entra ID登录界面,但由于伪装的浏览器用户代理,FIDO认证会被官方系统关停,引导用户选择其它次要验证方式。
研究人员指出,尽管此次攻击并非FIDO标准自身的漏洞,但意味着在部分平台上可通过此类手段规避FIDO认证,对正在广泛采用FIDO的高安全环境构成潜在威胁。