Nghiên cứu từ Proofpoint đã phát hiện một kỹ thuật tấn công FIDO mới, cho phép các tác nhân đe dọa vượt qua xác thực dựa trên FIDO thông qua các cuộc tấn công hạ cấp (downgrade attacks). Kỹ thuật này sử dụng một phishlet tùy chỉnh trong các framework AiTM (Adversary-in-the-Middle).

Phương pháp này khai thác các lỗ hổng trong khả năng tương thích của trình duyệt và cách xử lý user agent.

Nó buộc nạn nhân chuyển về các cơ chế xác thực đa yếu tố (MFA) kém an toàn hơn, từ đó tạo điều kiện cho hành vi đánh cắp thông tin đăng nhập và chiếm quyền phiên (session hijacking).

Bản Chất Kỹ Thuật Tấn Công Hạ Cấp FIDO

Tiêu chuẩn FIDO, được FIDO Alliance quảng bá, được đánh giá là chống phishing hiệu quả.

Chúng loại bỏ mật khẩu truyền thống và tích hợp khóa phần cứng với sinh trắc học hoặc mã PIN.

Tuy nhiên, vector hạ cấp này chứng minh rằng ngay cả các hệ thống mạnh mẽ cũng có thể bị phá vỡ bởi kỹ thuật xã hội và thao túng giao thức.

Cuộc tấn công phụ thuộc vào việc tạo một phishlet chuyên dụng cho các công cụ AiTM như Evilginx.

Quy Trình Khai Thác Kỹ Thuật Tấn Công FIDO

Kẻ tấn công bắt đầu chuỗi phishing bằng cách gửi một liên kết độc hại qua email, SMS, hoặc lời nhắc chấp thuận OAuth.

Nạn nhân được điều hướng đến một trang đăng nhập giả mạo.

Bằng cách giả mạo một user agent không được hỗ trợ, ví dụ như mô phỏng Safari trên Windows vốn thiếu tương thích FIDO2 với Microsoft Entra ID, phishlet kích hoạt lỗi xác thực.

Điều này thúc đẩy nạn nhân chọn một phương pháp đăng nhập thay thế, thường là một MFA dự phòng như Microsoft Authenticator.

Tại đó, họ nhập mã xác minh.

Sau khi xác thực, proxy AiTM chặn các thông tin đăng nhập, mã thông báo MFA và cookie phiên.

Điều này cho phép kẻ tấn công nhập chúng vào trình duyệt của họ để thực hiện chiếm quyền điều khiển tài khoản (ATO) hoàn toàn.

Đánh Giá Rủi Ro và Ảnh Hưởng Từ Kỹ Thuật Tấn Công FIDO

Các hoạt động sau khi hệ thống bị xâm nhập có thể bao gồm rò rỉ dữ liệu, di chuyển ngang (lateral movement), hoặc xâm nhập mạng sâu hơn.

Điều này làm tăng đáng kể các rủi ro bảo mật trong môi trường doanh nghiệp.

Mặc dù Proofpoint chưa quan sát thấy kỹ thuật hạ cấp FIDO này trong các chiến dịch đang diễn ra, tính khả thi của nó cho thấy sự tinh vi ngày càng tăng của các bộ công cụ phishing.

Các bộ công cụ này đã phát triển từ những công cụ thu thập thông tin đăng nhập cơ bản thành các nền tảng PhaaS (Phishing-as-a-Service) tiên tiến như EvilProxy và Tycoon.

Đặc Điểm Kỹ Thuật Hạ Cấp FIDO

Các phishlet truyền thống thường thất bại khi đối phó với các tài khoản được bảo vệ bằng FIDO, thường dẫn đến lỗi.

Tuy nhiên, cách tiếp cận tùy chỉnh này khai thác thực tiễn quản trị phổ biến là duy trì các bản sao lưu MFA để khôi phục tài khoản.

Các nhà nghiên cứu lưu ý rằng kỹ thuật này được xây dựng dựa trên các phát hiện trước đây, chẳng hạn như lỗ hổng bảo mật trong Windows Hello for Business.

Tuy nhiên, nó mở rộng ra các triển khai Microsoft Entra ID rộng hơn mà không bị giới hạn trong các thiết lập cụ thể.

Việc hạ cấp dựa vào các biện pháp bảo mật còn thiếu sót trong việc xử lý các user agent không được nhận dạng.

Điều này lừa hệ thống bỏ qua các giao thức chống phishing hiệu quả.

Sự vắng mặt của việc khai thác trong thế giới thực có thể xuất phát từ việc kẻ tấn công ưa thích các mục tiêu ít nỗ lực hơn.

Ví dụ, các tài khoản với MFA yếu hoặc không có yếu tố phụ thứ cấp vẫn còn phổ biến và dễ bị xâm nhập hơn mà không cần các sửa đổi phishlet nâng cao.

Một nguồn đáng tin cậy cung cấp thêm chi tiết về kỹ thuật tấn công FIDO này là báo cáo của Proofpoint: Proofpoint Threat Insight: Don’t Phish Let Me Down: FIDO Authentication Downgrade.

Chiến Lược Phòng Chống và Tăng Cường Bảo Mật Mạng

Khi các tổ chức ngày càng áp dụng FIDO để chống lại các mối đe dọa AiTM gia tăng (được chứng minh bằng hàng tỷ nỗ lực phishing hàng ngày), các tác nhân tinh vi.

Bao gồm cả các mối đe dọa dai dẳng nâng cao (APTs) và các nhóm được nhà nước tài trợ, có thể tích hợp kỹ thuật tấn công FIDO này vào chuỗi tấn công (kill chain) của họ.

Sự phát triển này nhấn mạnh sự cần thiết của các biện pháp phòng thủ nâng cao, bao gồm xác thực user agent theo thời gian thực.

Cũng như việc thực thi FIDO nghiêm ngặt mà không có các tùy chọn dự phòng, và đào tạo nâng cao nhận thức bảo mật toàn diện.

Việc đào tạo này giúp người dùng nhận diện các lời nhắc xác thực khẩn cấp giả mạo.

Proofpoint nhấn mạnh rằng mặc dù FIDO vẫn được khuyến nghị cao để chống lại phishing thông tin đăng nhập và ATO.

Việc giám sát chủ động và tư thế bảo mật mạng thích ứng là cần thiết để giảm thiểu các rủi ro hạ cấp mới nổi trong bối cảnh mối đe dọa năng động.