La nouvelle technique exploite l’option de connexion croisée sur FIDO pour créer une session authentifiée contrôlée par les attaquants.
Poisonseed, le célèbre groupe d’attaque de crypto-hacking connu pour ses campagnes de phishing à grande échelle, a été vu en train de procurer des protections Fast Identity Online (FIDO) dans une nouvelle technique d’ingénierie sociale.
Dans une campagne découverte par Expul, le tristement célèbre chaîne d’approvisionnement des attaquants de phishing a exploité la fonction de connexion transversale disponible avec FIDO Keys.
Les touches FIDO utilisent l’authentification multi-facteurs matérielle pour traiter les vulnérabilités trouvées dans d’autres méthodes MFA.
« Si un utilisateur dont le compte est protégé par une clé FIDO entre dans leur nom d’utilisateur et son mot de passe dans la page de phishing, leurs informations d’identification seront volées, tout comme tout autre utilisateur », expulsera les chercheurs dans un article de blog. « Mais avec un FIDO protégeant leur compte, les attaquants ne sont pas en mesure d’interagir physiquement avec la deuxième forme d’authentification. »
Les attaquants de graines de poison semblent avoir craqué avec une nouvelle astuce. Au lieu de voler ou de cloner une clé FIDO, les attaquants convaincent simplement les utilisateurs de scanner un code QR, une copie exacte du QR invitée à une connexion transversale légitime, qui complète la connexion malveillante pour eux.
« Il s’agit d’une attaque amusante, et nous devons tous instruments », a déclaré Trey Ford, directeur de la sécurité de l’information chez Bugcrowd. « Oui, c’est faisable, et ce que nous devons garder à l’esprit, c’est que chaque contrôle de sécurité, à un certain niveau, aura des modes de défaillance. »
La commodité croisée devient le réticule
La technique des graines empoisonnées exploite une caractéristique peu comprise de nombreuses plates-formes d’identité, la connexion croisée basée sur le code QR. Les attaquants utilisent une fausse page de connexion, imitant souvent Okta ou des fournisseurs similaires, qui présente une invite QR après une entrée de mot de passe. Lorsque l’utilisateur analyse ce QR avec une application Authenticatrice légitime, elle termine la session, mais pour les attaquants.
« Les informations d’identification ont été capturées avec une fausse page Okta, qui ont ensuite été utilisées pour invoquer le flux de travail de connexion croisée qui présente un code QR destiné aux appareils secondaires légitimes », a expliqué Jason Soroko, chercheur principal de Sectigo. « Le site de phishing reflétait ce code à l’utilisateur qui l’a numérisé avec une application Authenticator, qui a terminé le défi FIDO, même si la clé physique n’a jamais bougé. »
Cette manœuvre a donné à l’adversaire une session active tandis que la clé est restée en sécurité dans la poche de la victime, ce qui prouve que l’ingénierie sociale reste le ventre doux, a-t-il ajouté.
Soroko a recommandé de désactiver la connexion croisée dans la mesure du possible et de surveiller les enregistrements de périphériques inattendus ou les géographies inhabituelles.
Fido n’est pas cassé, juste dépassé
Les chercheurs expuls ont qualifié la campagne de développement préoccupant, étant donné que les clés FIDO sont souvent considérées comme l’un des pinacles du MFA sécurisé. « Bien que nous n’ayons pas découvert de vulnérabilité dans Fido Keys, les gens et Secops voudront s’asseoir et en prendre note », ont-ils déclaré. «Cette attaque montre comment un mauvais acteur pourrait faire fonctionner une route finale autour d’une clé FIDO installée.»
Les experts ont fait écho à l’unanimité les préoccupations de l’expulsion. Darren Guccione, PDG et co-fondateur chez Keeper Security, a déclaré: «Ces attaques ne craquent pas la cryptographie de Fido – au lieu de cela, ils exploitent des méthodes de connexion alternatives de confiance, comme les signes basés sur QR, pour inciter les utilisateurs à informer involontairement des sessions de connexion légitimes qui sont contrôlées par l’attaquant.»
La force de Fido réside dans sa protection soutenue par le matériel, qui reste incroyablement résiliente, a-t-il ajouté.
J Stephen Kowski, CTO Field à Slashnext, a offert une solution différente. « Les organisations devraient certainement prendre cela au sérieux et envisager de mettre en œuvre des garanties supplémentaires comme nécessiter une proximité Bluetooth entre les appareils lors de l’authentification croisée, tout en garantissant que leurs solutions de sécurité peuvent détecter et bloquer ces tentatives de phishing sophistiquées avant qu’elles n’atteignent les utilisateurs », a-t-il déclaré. Pour les utilisateurs qui ont absolument besoin d’avoir Fido Cross-Device Se connecter, Expul recommande correctement si les demandes de connexion proviennent d’emplacements suspects et de la recherche d’enregistrement de clés inconnues, inattendues ou non fiables.
