ymgerman | shutterstock.com
Der FIDO-Normal gilt allgemein als sicher und benutzerfreundlich. Er kommt für passwortlose Authentifizierung zum Einsatz und gilt als wirksames Mittel gegen Phishing-Versuche. Analysis-Experten des Sicherheitsanbieters Proofpoint haben nun allerdings eine neue Möglichkeit aufgetan, um die Authentifizierung auf FIDO-Foundation auszuhebeln. Dazu entwickelten die Experten eine Downgrade-Angriffstechnik, die sie am Beispiel von Microsoft Entra ID durchgespielt haben.
So läuft der FIDO-Downgrade-Angriff ab
Phishing-Kampagnen scheitern für gewöhnlich an Konten, die mit FIDO-Passkeys abgesichert sind. Allerdings sind laut Proofpoint bestimmte FIDO-Implementierungen anfällig für Downgrade-Angriffe. Bei dieser Kind der Attacke sollen die Benutzer dazu gebracht werden, auf eine weniger sichere Authentifizierungsmethode zurückzugreifen.
Der Ansatzpunkt für die Forscher warfare dabei der Fakt, dass nicht alle Webbrowser FIDO-Passkeys unterstützen – beispielsweise Safari unter Home windows. Laut Proofpoint lässt sich diese funktionale Lücke von Angreifern ausnutzen. “Ein Cyberkrimineller kann einen Adversary-in-the-Center- (AiTM-) Angriff anpassen, um einen nicht unterstützten Benutzeragenten vorzutäuschen, der von einer FIDO-Implementierung nicht erkannt wird. Anschließend wäre der Benutzer gezwungen, sich über eine weniger sichere Methode zu authentifizieren”, schreibt der Sicherheitsanbieter in einer Pressemitteilung.
