1. 研究发现新安全风险
8 月 13 日报道称,安全研究专家发现了一种针对微软企业身份服务 Entra ID 的新型 FIDO 降级攻击手法。该攻击可巧妙地规避高强度的 FIDO 认证流程,诱使用户改用相对薄弱且易受劫持的验证方式,极大地增加了用户遭遇中间人钓鱼攻击的风险。
2. 背景:FIDO 的意义与目标
对于 FIDO 这一标准进行一个说明:它是 Fast Identity Online(快速在线身份识别)的缩写,属于一套开放式的技术规范。该标准的根本目标是推广“无密码认证”方案,通过利用如硬件密钥或生物识别等更为可靠的身份验证手段,来显著增强用户账户的整体安全性防护级别。
3. 攻击本质:并非漏洞利用,而是模拟伪装
据安全公司 Proofpoint 披露的细节,此次披露的攻击方式本身并非利用了 FIDO 协议设计上存在的缺陷。攻击者采取了一种精妙的策略:操控并篡改了浏览器发送给服务器的标识信息(即 User Agent 字符串)。通过这一手段,他们让登录系统误认为用户当前正使用着一款不支持 FIDO 标准的过时设备或浏览器。
4. 利用过程与核心危害
整个攻击链由用户误点恶意链接开启,受害者将被导向一个假冒的、利用工具(如 Evilginx)搭建的中间人登录门户页面。在该场景下,攻击者提前预备好的“钓鱼模块”(phishlet)会传递虚假的、禁用了 FIDO 功能的浏览器标识请求。
当虚假页面中嵌入的登录流程接收到这种伪装请求后,系统会主动关闭 FIDO 验证选项,并向用户展现系统检测到“限制”的错误提示。紧接着,系统往往诱导用户选择如微软验证器应用程序、手机短信验证码或一次性密码(OTP)等替代性凭证来完成验证。悲剧在于,上述这些替代方法所使用的验证凭据,在传输过程中极易被中间人攻击所截获。
一旦用户按照钓鱼页面的引导完成了替代方式的登录验证,攻击者随即能通过其控制的中介服务器,攫取完整的用户登录凭证以及有效的会话 Cookie 数据。凭借这些信息,攻击者能轻易将其导入到自己本地的浏览器环境,实现对目标账号的完全接管和数据访问控制权。
虽然目前尚未观测到该技术在真实黑客活动中大规模部署的确切证据,但研究专家明确指出,此类攻击手段极其适合高度定制化的、隐蔽性强的高级持续性威胁行动场景,对敏感目标和特定人群的潜在危害性不可小觑。
