8月14日,科技媒体bleepingcomputer发布最新报道,安全研究人员发现一种新型FIDO降级攻击技术,能够突破微软Entra ID的FIDO认证防护,诱骗用户使用安全性较低的验证方式完成登录,从而面临中间人钓鱼攻击的风险。
注:FIDO是Fast Identity Online的缩写,作为一套开放认证标准,其主要目标是通过无密码验证方案提升账户安全水平。
Proofpoint安全团队最新研究发现,这种FIDO降级攻击并非针对协议本身漏洞,而是通过篡改浏览器User Agent信息——即浏览器向服务器声明自身配置的标识字符串——伪装成不兼容FIDO认证的运行环境,迫使系统自动关闭FIDO功能并引导用户选择其他验证方案。

攻击始于精心设计的钓鱼链接,用户点击后将被重定向至伪造登录页面(通常由Evilginx等中间人攻击框架构建)。该页面虽然代理了真实的Entra ID登录界面,但攻击者通过预设的“phishlet”模块伪造了不支援FIDO的浏览器标识信息。

系统在检测到异常环境后会自动禁用FIDO认证功能,同时返回错误提示,引导用户转而使用微软验证器应用、短信验证码或一次性密码等替代验证方式。这些验证手段在传输过程中都存在被截获的风险。
当用户完成替代验证后,攻击者即可通过代理服务器获取完整的登录凭据和会话Cookie,并将其植入本地浏览器,实现对目标账户的完全控制。虽然目前尚未发现实际攻击案例,但该技术特别适用于针对性强的高级持续性威胁场景。

