降級(jí)攻擊技術(shù)原理

采用FIDO密鑰保護(hù)的賬戶通常能抵御釣魚攻擊，但Proofpoint指出某些FIDO實(shí)施方案存在降級(jí)攻擊漏洞。攻擊者通過(guò)誘導(dǎo)用戶采用安全性較低的認(rèn)證方式實(shí)現(xiàn)入侵。

研究人員的突破點(diǎn)在于：并非所有網(wǎng)絡(luò)瀏覽器都支持FIDO密鑰（例如Windows系統(tǒng)下的Safari瀏覽器）。Proofpoint表示："網(wǎng)絡(luò)罪犯可改造中間人攻擊（AiTM）框架，偽裝成FIDO實(shí)現(xiàn)方案無(wú)法識(shí)別的用戶代理，迫使用戶轉(zhuǎn)而采用低安全性的認(rèn)證方式。"

為驗(yàn)證攻擊可行性，Proofpoint專家在Evilginx中間人攻擊框架中開(kāi)發(fā)了"釣魚套件"——這是一種用于偽造網(wǎng)站界面、竊取登錄數(shù)據(jù)和會(huì)話令牌的配置文件。該攻擊之所以能夠得逞，是因?yàn)榕渲肍IDO認(rèn)證的用戶賬戶通常會(huì)將多因素認(rèn)證（MFA）作為備用登錄方案。

攻擊實(shí)施流程

安全專家還原了完整的攻擊鏈條：

• 攻擊者通過(guò)電子郵件、短信或OAuth請(qǐng)求向目標(biāo)發(fā)送釣魚鏈接
• 受害者點(diǎn)擊惡意鏈接后，系統(tǒng)會(huì)返回認(rèn)證錯(cuò)誤并建議采用替代登錄方式
• 當(dāng)用戶通過(guò)偽造界面完成登錄時(shí)，其憑證數(shù)據(jù)和會(huì)話Cookie即遭竊取
• 攻擊者可借此劫持會(huì)話，完全控制目標(biāo)賬戶，進(jìn)而實(shí)施數(shù)據(jù)竊取或橫向滲透

新型威脅預(yù)警

盡管目前尚未發(fā)現(xiàn)該技術(shù)被實(shí)際用于網(wǎng)絡(luò)犯罪，Proofpoint仍將此類降級(jí)攻擊列為重大新興威脅。專家警告稱："隨著越來(lái)越多機(jī)構(gòu)采用FIDO等'防釣魚'認(rèn)證方案，攻擊者極可能將FIDO認(rèn)證降級(jí)技術(shù)整合進(jìn)其攻擊鏈條。"