Das hier ist ein vollständig KI generierter Artikel.

Die FIDO-Authentifizierung gilt als sicher und benutzerfreundlich, insbesondere im Kampf gegen Phishing-Angriffe. Doch Sicherheitsforscher von Proofpoint haben einen Weg gefunden, diese zu umgehen. Sie entwickelten eine Downgrade-Angriffstechnik, die sie am Beispiel von Microsoft Entra ID testeten.

Wie funktioniert der Downgrade-Angriff?

Phishing-Kampagnen scheitern normalerweise an Konten, die mit FIDO-Passkeys gesichert sind. Laut Proofpoint sind jedoch bestimmte FIDO-Implementierungen anfällig für Downgrade-Angriffe. Bei dieser Angriffsform werden Nutzer dazu gebracht, eine weniger sichere Authentifizierungsmethode zu verwenden.

Der Ausgangspunkt für die Forscher war die Tatsache, dass nicht alle Webbrowser FIDO-Passkeys unterstützen – zum Beispiel Safari unter Windows. Diese Funktionalitätslücke kann von Angreifern ausgenutzt werden. Ein Cyberkrimineller kann einen Adversary-in-the-Middle (AiTM)-Angriff anpassen, um einen nicht unterstützten User-Agent vorzutäuschen, der von einer FIDO-Implementierung nicht erkannt wird. Der Nutzer wäre dann gezwungen, sich mit einer weniger sicheren Methode zu authentifizieren.

Praktische Umsetzung des Angriffs

Um zu demonstrieren, wie dies in der Praxis ausgenutzt werden könnte, entwickelten die Proofpoint-Spezialisten ein Phishlet für das AiTM-Framework Evilginx. Dies ist eine Konfigurationsdatei, die in Phishing-Kits verwendet wird, um Websites zu fälschen und Anmeldedaten sowie Sitzungstoken zu stehlen. Laut Proofpoint ist die Angriffssequenz möglich, weil Benutzerkonten mit FIDO-Authentifizierung in der Regel alternative Anmeldemethoden als Fallback-Lösung verwenden – meist die Multi-Faktor-Authentifizierung (MFA).

Warnungen und Empfehlungen

Obwohl es laut Proofpoint bisher keine Beweise dafür gibt, dass diese Angriffstechnik bereits von Cyberkriminellen in der Praxis eingesetzt wird, wird sie als bedeutende neue Bedrohung eingestuft. Die Experten warnen: „Da immer mehr Organisationen ‚phishing-resistente‘ Authentifizierungsmethoden wie FIDO einführen, könnten Angreifer in Zukunft FIDO-Authentifizierungs-Downgrades in ihre Angriffsstrategien integrieren.“

Stellungnahme der FIDO-Allianz

In einer E-Mail äußerte FIDO-Alliance-CEO Andrew Shikiar Zweifel an der Ernsthaftigkeit der Schwachstelle. „Der hier beschriebene Angriff spiegelt keine Schwachstelle in Passkeys oder FIDO-Protokollen wider“, sagte er. „Vielmehr zeigt er die Bedeutung auf, dass Dienstanbieter so schnell wie möglich vollständig von Passwörtern und anderen phishbaren Anmeldemethoden abrücken.“

Die FIDO-Allianz bietet Dienstanbietern Leitlinien zur Risikominderung von Phishing an, während sie weiterhin mehrere Anmeldeoptionen für ihre Nutzer zulassen. Diese Leitlinien sind auf Passkey Central verfügbar.

Dieser Artikel erschien ursprünglich auf CSO Germany und wurde aktualisiert, um Kommentare der FIDO-Allianz einzuschließen.

Quelle: https://www.csoonline.com/article/4040128/fido-undermined.html