I ricercatori di Expel hanno rilevato la campagna phishing PoisonSeed che permette di aggirare la protezione FIDO2. I cybercriminali non sfruttano una vulnerabilità, ma la funzionalità di login cross-device prevista dallo standard di autenticazione.
Descrizione del downgrade attack
FIDO2 (Fast IDentity Online 2) è lo standard di autenticazione più recente sviluppato dalla FIDO Alliance. Permette di usare una chiave hardware come secondo fattore di autenticazione, invece di altri metodi (SMS o email) vulnerabili agli attacchi. Lo standard prevede la possibilità di accedere agli account su dispositivi che non hanno una passkey utilizzando un secondo dispositivo. Ad esempio è possibile effettuare il login su desktop usando uno smartphone.
L’attacco PoisonSeed inizia con un’email inviata ai dipendenti di un’azienda. Nel messaggio è presente un link che porta ad un sito fake di Okta, Microsoft 365 o altri servizi di login. Le credenziali verranno intercettate dai cybercriminali, ma la chiave hardware FIDO2 impedirà l’accesso all’account. È stata quindi aggiunta la visualizzazione di un codice QR per sfruttare la funzionalità di login cross-device dello standard tramite attacco AitM (Adversary-in-the-Middle).
Il sito di phishing trasmette le credenziali al sito legittimo e chiede di generare il codice QR. Quest’ultimo viene mostrato sul sito di phishing. L’ignara vittima effettua la scansione del codice con l’app installata sullo smartphone e i cybercriminali accedono all’account.
Gli esperti di Expel sottolineano che non viene sfruttata una vulnerabilità nell’implementazione di FIDO2, ma una legittima funzionalità. La soluzione migliore sarebbe quella di eliminare il login cross-device. Ciò comporta però la creazione di una passkey su ogni dispositivo.
Le aziende potrebbero applicare limitazioni geografiche per il login cross-device e verificare la registrazione delle chiavi FIDO2 da posizioni sconosciute o con chiavi hardware diverse. In alternativa si dovrebbe imporre l’autenticazione tramite Bluetooth. In questo caso, il computer che richiede l’accesso deve essere vicino allo smartphone.