Los investigadores de ciberseguridad han revelado una nueva técnica de ataque que permite a los actores de amenaza evitar las protecciones clave de la identidad rápida (FIDO) engañando a los usuarios a aprobar las solicitudes de autenticación del portal de inicio de sesión de la empresa falsificada.
La actividad observada por expulsar como parte de una campaña de phishing salvaje se atribuye a un actor de amenaza llamado intoxicación. Recientemente se marcó para enviar mensajes de spam que contienen frases de semillas de criptomonedas y víctimas de drenaje, aprovechando las credenciales comprometidas relacionadas con las herramientas de gestión de relaciones con el cliente (CRM) y los proveedores de correo electrónico a granel.
«Los ataques hacen esto utilizando la función de inicio de sesión entre dispositivos disponibles con una llave de Fido», dijeron los investigadores Ben Nahorney y Brandon Overstreet. «Pero los malos actores en este caso usan esta característica en sus ataques de ataque de flujo medio (AITM)».
El inicio de sesión de servicio cruzado permite a los usuarios iniciar sesión en dispositivos que no tienen PassKey usando un segundo dispositivo, como un teléfono móvil, que contiene una clave de cifrado.
La cadena de ataque documentada por Expel comienza con un correo electrónico de phishing que invita a los destinatarios a iniciar sesión en una página de inicio de sesión falso que imita el portal de Okta Enterprise. Una vez que la víctima ingresa a sus credenciales, el sitio falso transmite en secreto la información de inicio de sesión a la página de inicio de sesión real.
El sitio de phishing instruirá a las páginas de inicio de sesión legítimas que utilicen métodos de envío híbridos para la autenticación. Esto permitirá que la página proporcione un código QR y luego se envíe de regreso a un sitio de phishing donde se presentará a la víctima.
Si un usuario escanea un código QR en un dispositivo móvil utilizando la aplicación Authenticator, el atacante puede obtener acceso no autorizado a la cuenta de la víctima.
«En este ataque, el mal actor ingresó el nombre de usuario y la contraseña correctos y pidió que iniciara sesión en el dispositivo cruzado», dijo Expel.
«El portal de inicio de sesión muestra un código QR, que es capturado inmediatamente por el sitio de phishing y transmitido al usuario en el sitio falso. El usuario se comunica con el autenticador MFA, el portal de inicio de sesión y el autenticador de MFA, y el atacante está participando».
Lo que es notable sobre los ataques es que evitan la protección proporcionada por la clave FIDO, lo que permite a los actores de amenaza acceder a la cuenta del usuario. El método de compromiso no explota fallas en la implementación de FIDO. Más bien, abusa de capacidades legítimas que degradan el proceso de certificación.
La tecla FIDO está creada para evitar el phishing al vincular la autenticación con el dominio que se accede, pero cuando se transmite un código QR en el dispositivo y la interfaz, su enlace de confianza se dorominará. Los atacantes pueden aprovechar este punto ciego en los flujos de iniciación del dispositivo donde los usuarios no han validado directamente el dominio de destino, de acuerdo efectivamente con el paso de autenticación sin causar dudas.
Expel también dijo que observó otro incidente en el que los actores de amenaza registraron su propia clave FIDO después de violar sus cuentas a través de correos electrónicos de phishing y restablecer las contraseñas de sus usuarios.
En todo caso, los hallazgos resaltan la necesidad de adoptar la autenticación resistente a phishing en cada paso del ciclo de vida de la cuenta, incluida la etapa de recuperación, ya que el uso de métodos de autenticación propensos a phishing puede socavar toda la infraestructura de identidad.
«Los ataques de AITM son los últimos en una instancia de mucho tiempo en la que los malos actores y los defensores crían ante en la lucha para comprometer/proteger las cuentas de los usuarios», agregaron los investigadores.
Source link
