Investigadores de ciberseguridad han revelado una novedosa técnica de ataque
que permite a los actores de amenazas degradar la protección de las claves
Fast IDentity Online (FIDO) engañando a los usuarios para que aprueben solicitudes de autenticación
desde portales de inicio de sesión corporativos falsificados.
Lo que hace que este ataque sea notable es que evade las protecciones que
ofrecen las claves FIDO y permite a los atacantes acceder a las cuentas de los
usuarios.
El método de vulneración no explota ninguna falla en la implementación de
FIDO; más bien, abusa de una función legítima para degradar el proceso de
autenticación.
Las claves FIDO son autenticadores basados en hardware o software, diseñados
para eliminar el phishing vinculando los inicios de sesión a dominios
específicos mediante criptografía de clave pública-privada.
En este caso, los atacantes explotan una función legítima (el inicio de
sesión multidispositivo) para engañar a las víctimas y hacer que autentiquen
sesiones maliciosas sin saberlo.
La actividad,
observada por la empresa Expel
como parte de una campaña de phishing, se ha atribuido a un actor de amenazas
llamado
PoisonSeed, que recientemente fue detectado por utilizar credenciales comprometidas
asociadas con herramientas de gestión de relaciones con clientes (CRM) y
proveedores de correo electrónico masivo para enviar mensajes de spam con
frases semilla de criptomonedas y vaciar los monederos digitales de las
víctimas.
«El atacante logra esto aprovechando las funciones de inicio de sesión
multidispositivo disponibles con las claves FIDO», explicaron los investigadores Ben Nahorney y Brandon Overstreet. Sin
embargo, en este caso, los actores maliciosos utilizan esta función en ataques
de tipo
«adversario en el intermediario» (AitM).
Esta técnica no funciona en todos los escenarios. Se dirige específicamente
a usuarios que se autentican mediante flujos entre dispositivos que no
aplican comprobaciones de proximidad estrictas, como Bluetooth o la
autenticación local del dispositivo.
Si el entorno de un usuario exige que las llaves de seguridad de hardware se
conecten directamente al dispositivo de inicio de sesión o utiliza
autenticadores específicos de la plataforma (como Face ID vinculado al
contexto del navegador), la cadena de ataque se interrumpe.
El
inicio de sesión entre dispositivos
permite a los usuarios iniciar sesión en un dispositivo sin clave de acceso
utilizando un segundo dispositivo que sí contiene la clave criptográfica, como
un teléfono móvil.
La cadena de ataque documentada por Expel comienza con un correo electrónico
de phishing que induce a los destinatarios a iniciar sesión en una página de
inicio de sesión falsa que imita el portal Okta de la empresa. Una vez que las
víctimas introducen sus credenciales, el sitio fraudulento retransmite
sigilosamente la información de inicio de sesión a la página de inicio de
sesión real.
Luego, el sitio de phishing le indica a la página de inicio de sesión legítima
que utilice el método de transporte híbrido para la autenticación, lo que hace
que la página muestre un código QR que luego se envía de regreso al sitio de
phishing y se presenta a la víctima.
Si el usuario escanea el código QR con la aplicación de autenticación en su
dispositivo móvil, los atacantes pueden acceder sin autorización a la cuenta
de la víctima. «En este ataque, los atacantes introdujeron el nombre de usuario y la
contraseña correctos y solicitaron el inicio de sesión multidispositivo», declaró Expel. «El portal de inicio de sesión muestra un código QR, que el sitio de
phishing captura inmediatamente y retransmite al usuario en el sitio falso.
El usuario lo escanea con su autenticador MFA, el portal de inicio de sesión
y el autenticador MFA se comunican, y los atacantes ya están dentro».
Si bien FIDO2 está diseñado para resistir el phishing, su flujo de inicio de
sesión multidispositivo, conocido como transporte híbrido, puede utilizarse
indebidamente si no se implementa la verificación de proximidad, como
Bluetooth. En este flujo, los usuarios pueden iniciar sesión desde una
computadora escaneando un código QR con un dispositivo móvil que contenga su
clave de acceso.
Sin embargo, los atacantes pueden interceptar y retransmitir ese código QR en
tiempo real a través de un sitio de phishing, engañando a los usuarios para
que aprueben la autenticación en un dominio falsificado.
Esto convierte una función segura en una vulnerabilidad de phishing, no
debido a una falla de protocolo, sino a su implementación flexible.
Expel también indicó haber observado un incidente independiente en el que un
actor de amenazas registró su propia clave FIDO tras comprometer una cuenta
mediante un correo electrónico de phishing y restablecer la contraseña del
usuario.
Para proteger mejor las cuentas de usuario, las organizaciones deben
combinar la autenticación FIDO2 con comprobaciones que verifiquen el
dispositivo utilizado.
Siempre que sea posible, los inicios de sesión deben realizarse en el mismo
dispositivo que contiene la clave de acceso, lo que limita el riesgo de
phishing.
Los equipos de seguridad deben estar atentos a inicios de sesión inusuales con
códigos QR o nuevos registros de claves de acceso. Las opciones de
recuperación de cuentas deben utilizar métodos resistentes al phishing, y las
pantallas de inicio de sesión, especialmente para inicios de sesión
multidispositivo, deben mostrar detalles útiles como la ubicación, el tipo de
dispositivo o advertencias claras para ayudar a los usuarios a detectar
actividad sospechosa.
En todo caso, los hallazgos subrayan la necesidad de adoptar una autenticación
resistente al phishing en todas las etapas del ciclo de vida de una cuenta,
incluidas las fases de recuperación, ya que el uso de un método de
autenticación susceptible al phishing puede debilitar toda la infraestructura
de identidad.
«Los ataques AitM contra claves FIDO y claves FIDO controladas por
atacantes son solo el último de una larga lista de ejemplos en los que
actores maliciosos y defensores intensifican sus esfuerzos para
comprometer/proteger las cuentas de los usuarios», añadieron los investigadores.
Fuente:
THN