I ricercatori di Proofpoint hanno descritto un nuovo metodo che permette di aggirare l’autenticazione tramite passkey FIDO2. Si tratta di un attacco che porta all’uso di una soluzione di login più vulnerabile e quindi al furto delle credenziali. A fine luglio era stato mostrato un altro downgrade attack denominato PoisonSeed.
Come viene aggirato il login con passkey
Il furto delle credenziali di login viene spesso effettuato con tecniche di phishing. I cybercriminali inviano tramite email il link ad una pagina di login simile a quella legittima. Quando l’ignara vittima inserisce le credenziali vengono intercettate con un reverse proxy server, insieme al secondo fattore di autenticazione (ad esempio un codice numerico). L’attacco è noto come AiTM (Adversary-in-The-Middle).
Grazie allo standard FIDO2 è possibile usare una passkey per l’autenticazione. I tradizionali attacchi di phishing non funzionano perché non viene più usata una password. Gli esperti di Proofpoint hanno dimostrato che l’autenticazione FIDO2 può essere aggirata con un “downgrade attack” contro gli account Microsoft Entra ID.
Safari per Windows non supporta l’autenticazione tramite passkey per Entra ID. I cybercriminali potrebbero quindi sfruttare l’opportunità per forzare il login con un metodo meno sicuro, rilevando l’user agent del browser.
L’attacco inizia sempre con l’invio di un link tramite email o SMS. Quando l’utente accede alla falsa pagina di login vede un messaggio di errore che suggerisce di usare un metodo alternativo alla passkey (ad esempio l’app Authenticator o il codice OTP via SMS). Utilizzando il tool Evilginx è possibile intercettare credenziali e cookie di sessione o token MFA. Il cybercriminale prende quindi il controllo dell’account.
Al momento non risulta lo sfruttamento di attacchi simili. È tuttavia consigliata la disattivazione dei metodi di login meno sicuri, lasciando solo quello tramite passkey. Se viene chiesto un metodo alternativo è chiaro che qualcuno vuole accedere all’account.
