Bir zehirli kimlik avı kampanyası, WebAuthn'daki cihazlar arası oturum açma özelliğini, kullanıcıları sahte şirket portallarından giriş kimlik doğrulama isteklerini onaylamak için kandırarak kötüye kullanarak FIDO2 güvenlik anahtarı korumalarını atlıyor.
Zehir tohumu tehdidi aktörlerinin mali sahtekarlık için büyük hacimli kimlik avı saldırıları kullandığı bilinmektedir. Geçmişte, kripto para birimi cüzdanlarını boşaltmak için kullanılan kripto tohumu ifadeleri içeren e -postaların dağıtılması.
Expel tarafından gözlemlenen son kimlik avı saldırısında, zehirlenen tehdit aktörleri FIDO2'nin güvenliğinde bir kusurdan yararlanmıyor, aksine meşru cihazlar arası kimlik doğrulama özelliğini kötüye kullanıyor.
Avantajlar arası kimlik doğrulaması, kullanıcıların başka bir cihazda bir güvenlik anahtarı veya kimlik doğrulama uygulaması kullanarak bir cihazda oturum açmasına olanak tanıyan bir WebAuthn özelliğidir. Bir güvenlik tuşunu takmak gibi fiziksel bir bağlantı istemek yerine, kimlik doğrulama isteği Bluetooth aracılığıyla cihazlar arasında veya QR kodu taraması arasında iletilir.
Saldırı, kullanıcıları OKTA veya Microsoft 365 gibi kurumsal giriş portallarını taklit eden bir kimlik avı sitesine yönlendirerek başlar.
Kullanıcı kimlik bilgilerini portala girdiğinde, kampanya, gerçek zamanlı olarak meşru giriş portalında gönderilen kimlik bilgileriyle sessizce giriş yapmak için ortada bir düşman (AITM) arka uç kullanır.
Saldırıyı hedefleyen kullanıcı normalde çok faktörlü kimlik doğrulama isteklerini doğrulamak için FIDO2 güvenlik anahtarlarını kullanır. Bununla birlikte, kimlik avı arka ucu bunun yerine meşru giriş portalına, cihazlar arası kimlik doğrulama kullanarak kimlik doğrulaması yapmasını söyler.
Bu, meşru portalın kimlik avı sayfasına geri gönderilen ve kullanıcıya görüntülenen bir QR kodu oluşturmasına neden olur.
Kullanıcı bu QR kodunu akıllı telefon veya kimlik doğrulama uygulamasını kullanarak taradığında, saldırgan tarafından başlatılan oturum açma girişimini onaylar.
Bu yöntem, saldırganların kullanıcının fiziksel FIDO2 tuşu yerine cihazlar arası kimlik doğrulamasına dayanan bir giriş akışı başlatmasına izin vererek FIDO2 güvenlik anahtarı korumalarını etkili bir şekilde atlar.
Expel, bu saldırının FIDO2 uygulamasında bir kusurdan yararlanmadığı, bunun yerine FIDO anahtar kimlik doğrulama sürecini düşüren meşru bir özelliği kötüye kullandığı konusunda uyarıyor.
Riski azaltmak için Expel aşağıdaki savunmaları önerir:
Expel ayrıca, bir tehdit oyuncusunun kimlik avı ve şifreyi sıfırladığına inanılan bir hesaptan ödün verdikten sonra kendi Fido anahtarlarını kaydettiği ayrı bir olay gözlemledi. Ancak, bu saldırı bir QR kodu gibi kullanıcıyı kandırmak için herhangi bir yöntem gerektirmedi.
Bu saldırı, tehdit aktörlerinin kullanıcıları bir güvenlik anahtarıyla fiziksel etkileşim ihtiyacını atlayan giriş akışlarını tamamlamaya kandırarak kimlik avına dayanıklı kimlik doğrulamasını atlamanın yollarını nasıl bulduğunu vurgulamaktadır.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.
Güvendiğiniz MFA size yalan söylüyor - ve işte saldırganlar bundan nasıl yararlanıyor
Microsoft, Microsoft 365 kullanıcılarını etkileyen bilgi sorunlarını doğrular
Google Gemini Kusurları Kimlik avı için e -posta özetleri
Masaüstü ve uygulama sanallaştırmasında teknik engellerin üstesinden gelmek
FBI: Siber suçlular Dolandırıcılık Araştırmacıları olarak Pozit Oluşturan Sağlık Verilerini Çalın
Kaynak: Bleeping Computer