微软Entra ID认证漏洞曝光：黑客可绕过FIDO接管账户

8月14日，据科技媒体bleepingcomputer报道，安全研究人员近日发现了一种针对微软Entra ID的新型FIDO降级攻击手法。这种攻击方式能够绕过FIDO认证机制，迫使系统使用安全性较低的验证方式，使受害者面临中间人钓鱼攻击的风险。

（注：FIDO全称为Fast Identity Online，是一套开放认证标准，主要用于实现更安全的无密码登录方案。）

Proofpoint的安全团队披露，这种攻击并非利用FIDO协议本身的漏洞，而是通过篡改浏览器的User Agent信息（用于标识浏览器类型和版本的数据）来欺骗系统。攻击者将设备伪装成不支持FIDO认证的环境，诱使系统关闭FIDO验证功能，转而提供其他安全性较弱的验证选项。

整个攻击过程始于一个精心设计的钓鱼链接。当用户点击后，会被重定向到一个伪造的登录页面（通常使用Evilginx等中间人攻击框架搭建）。这个页面会模拟真实的Entra ID登录界面，但攻击者通过特殊配置的"phishlet"模块，伪造了不支持FIDO认证的浏览器信息。

系统检测到"不支持FIDO"的假信息后，会自动禁用FIDO认证功能，并提示用户改用微软验证器应用、短信验证码或一次性密码等替代验证方式。这些方式的验证数据在传输过程中更容易被攻击者截获。

一旦用户完成替代验证，攻击者就能通过代理服务器获取完整的登录凭证和会话Cookie。这些信息可以被直接导入攻击者的浏览器，实现对受害者账户的完全控制。虽然目前尚未发现实际攻击案例，但这种手法特别适合用于针对特定目标的高级持续性威胁攻击。