São Paulo — InkDesign News — Pesquisadores identificaram uma nova prova de conceito (PoC) mostrando como kits de phishing podem contornar a autenticação FIDO, um padrão considerado seguro para autenticação online. Este tipo de ataque pode ser integrado em pacotes comerciais de phishing como serviço (PhaaS).
Vetor de ataque
O ataque começa quando um criminoso envia um link de phishing à vítima. Se o usuário clicar, será redirecionado para uma página de login do Entra ID. Utilizando a estrutura de adversário-intermediário (AitM) chamada Evilginx, o atacante apresenta uma página legítima de login que, ao detectar que a tentativa está vindo de um navegador não suportado pelo FIDO, resulta em um erro. Isso leva o usuário a um método de autenticação multifatorial (MFA) alternativo, permitindo ao criminoso capturar credenciais e tokens de MFA.
Impacto e resposta
Tradicionalmente, a autenticação FIDO é considerada à prova de balas, protegendo contra ataques que exploram vulnerabilidades de senhas estáticas. Contudo, conforme evidenciado por esta nova metodologia, a introdução de técnicas de downgrade permite que criminosos contornem esta segurança sem necessidade de comprometer o sistema FIDO diretamente. Até o momento, a Proofpoint não registrou esses ataques em campo.
“As empresas precisam garantir que a autenticação funcione acima de tudo. Isso não significa que a segurança é sempre a prioridade principal.”
(“Fundamentally, for companies like Microsoft and others who are key players in this ecosystem, the number one priority is to make sure that users are able to authenticate. That doesn’t necessarily mean their number one priority is to protect the authentication at all costs.”)— Bojan Simic, Membro do Conselho da FIDO Alliance
Análise e recomendações
Para mitigar ataques de downgrade, é crucial que organizações adotem práticas que limitem as opções de autenticação apenas a métodos compatíveis com FIDO. A resistência a essa mudança geralmente se deve à preocupação com a acessibilidade. Simic aponta exemplos de empresas, como a Coinbase, que implementaram uma abordagem mais rigorosa, permitindo que usuários que optam por FIDO desativem métodos menos seguros como SMS.
A implementação de uma política de exclusividade FIDO pode ser a chave para interromper esses vetores de ataque, promovendo um ambiente de autenticação mais seguro. A educação dos usuários sobre os riscos associados ao phishing e a promoção de técnicas de autenticação seguras são fundamentais para o futuro da segurança cibernética.
Com a evolução constante das ameaças cibernéticas, as organizações precisam estar em alerta para novas técnicas de ataque e garantir que suas medidas de segurança estejam sempre atualizadas.
Fonte: (Dark Reading – Segurança Cibernética)
