ymgerman | shutterstock.com
Der FIDO-Standard gilt allgemein als sicher und benutzerfreundlich. Er kommt für passwortlose Authentifizierung zum Einsatz und gilt als wirksames Mittel gegen Phishing-Versuche. Research-Experten des Sicherheitsanbieters Proofpoint haben nun allerdings eine neue Möglichkeit aufgetan, um die Authentifizierung auf FIDO-Basis auszuhebeln. Dazu entwickelten die Experten eine Downgrade-Angriffstechnik, die sie am Beispiel von Microsoft Entra ID durchgespielt haben.
So läuft der FIDO-Downgrade-Angriff ab
Phishing-Kampagnen scheitern für gewöhnlich an Konten, die mit FIDO-Passkeys abgesichert sind. Allerdings sind laut Proofpoint bestimmte FIDO-Implementierungen anfällig für Downgrade-Angriffe. Bei dieser Form der Attacke sollen die Benutzer dazu gebracht werden, auf eine weniger sichere Authentifizierungsmethode zurückzugreifen.
Der Ansatzpunkt für die Forscher war dabei der Fakt, dass nicht alle Webbrowser FIDO-Passkeys unterstützen – beispielsweise Safari unter Windows. Laut Proofpoint lässt sich diese funktionale Lücke von Angreifern ausnutzen. “Ein Cyberkrimineller kann einen Adversary-in-the-Middle- (AiTM-) Angriff anpassen, um einen nicht unterstützten Benutzeragenten vorzutäuschen, der von einer FIDO-Implementierung nicht erkannt wird. Anschließend wäre der Benutzer gezwungen, sich über eine weniger sichere Methode zu authentifizieren”, schreibt der Sicherheitsanbieter in einer Pressemitteilung.
Um zu demonstrieren, wie sich das in der Praxis auszunutzen ließe, haben die Proofpoint-Spezialisten ein Phishlet für das AiTM-Framework Evilginx entwickelt. Hierbei handelt es sich um eine Konfigurationsdatei, die im Rahmen von Phishing-Kits zum Einsatz kommt, um Websites zu fälschen sowie Login-Daten und Session-Token abzugreifen. Möglich wird die Angriffssequenz laut Proofpoint, weil Benutzerkonten mit FIDO-Authentifizierung in aller Regel alternative Anmeldemethoden als Fallback-Lösung nutzen – meistens Multi-Faktor Authentifizierung (MFA).
Die Angriffssequenz läuft den Sicherheitsexperten zufolge folgendermaßen ab:
Ein Phishing-Link wird dem Angriffsziel zugestellt – etwa per E-Mail, SMS oder OAuth-Anfrage.
Erfolgt der Klick auf den schadhaften Link, wird ein Fehler bei der Authentifizierung gemeldet und eine alternative Anmeldemethode vorgeschlagen.
Greift der angegriffene Benutzer darauf zurück und meldet sich über das Fake-Interface an, werden seine Login-Daten und Session Cookies abgegriffen.
Das ermöglicht dem Angreifer, die Sitzung zu kapern und das Konto des Ziels zu übernehmen. Datenexfiltrationen oder lateralen Bewegungen innerhalb der betroffenen Umgebung sind damit Tür und Tor geöffnet.
Obwohl es laut Proofpoint bislang keine Anhaltspunkte dafür gibt, dass diese Angriffstechnik bereits von Cyberkriminellen in der Praxis genutzt wird, stuft der Sicherheitsanbieter Downgrade-Angriffe als signifikante neue Bedrohung ein. Die Experten warnen: “Weil immer mehr Organisationen ‘Phishing-resistente’ Authentifizierungsmethoden wie FIDO einführen, könnten Angreifer künftig FIDO-Authentifizierungs-Downgrades in ihre Kill Chains integrieren.” (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
No Responses