Фішери використовують метод зниження рівня FIDO MFA

Останні новини повідомляють, що зловмисники розробили спосіб обійти захисти FIDO (Fast Identity Online) MFA. Проте детальний технічний аналіз показує, що ці атаки знижують рівень аутентифікації, а не порушують криптографічну модель FIDO. У цьому розширеному звіті ми розглянемо механізм експлуатації, дослідимо її корінні причини та надамо рекомендації щодо оптимальних заходів захисту.

Розуміння Задокументованої Атаки

Висновки Expel: Загальний Огляд

Безпекова компанія Expel зафіксувала активну фішинг-операцію, пов’язану з групою під назвою PoisonSeed. Жертви отримують підроблене посилання для входу в Okta, яке збирає їхні облікові дані. Коли зловмисники отримують дійсну пару логін/пароль, вони активують слабкий механізм переходу до входу з різних пристроїв. Далі сайт генерує QR-код, який користувач сканує за допомогою свого зареєстрованого мобільного аутентифікатора.

1. Користувач вводить свої дані на підробленому порталі Okta (наприклад, okta[.]login-request[.]com).
2. Зловмисники в реальному часі передають дані на легітимний сервер Okta.
3. Легітимний сервер генерує QR-код для входу з різних пристроїв.
4. Користувач сканує QR-код за допомогою свого мобільного пристрою, що підтримує FIDO.
5. Аутентифікація завершується, надаючи доступ до облікового запису зловмиснику.

Чому Це Зниження, А Не Обхід

Специфікація FIDO2/WebAuthn вимагає жорсткого зв’язку між rpId (ідентифікатором залежної сторони) та доменом TLS. Справжній обхід вимагав би підробки криптографічного підпису або порушення TLS. Натомість PoisonSeed використовує дозволений механізм зниження—той самий підхід, який застосовується для входу через телевізори або кіоски—для переходу до менш надійного каналу MFA.

“Це не є недоліком дизайну FIDO, а скоріше неправильна конфігурація, яка дозволяє використовувати застарілі або менш захищені механізми аутентифікації,” пояснює доктор Лора Блейк, головний інженер з безпеки в FIDO Alliance.

Технічний Аналіз: Прив’язка Протоколу FIDO

FIDO2/WebAuthn запобігає атакам “людина посередині” (MitM) шляхом:

• Прив’язки виклику до rpId та джерела.
• Вимоги до засвідчених ключів, що зберігаються в безпечному апаратному забезпеченні (TPM, Secure Enclave або спеціалізовані токени).
• Опційного впровадження перевірки користувача за допомогою біометричних даних або PIN-коду на аутентифікаторі.

Коли генерується QR-код, залежна сторона повинна включити виклик та clientDataJSON, що зв’язує його з оригінальною сесією. Будь-яка невідповідність у домені або джерелі призведе до відхилення виклику getAssertion() у WebAuthn.

Корінна Причина: Неправильні Політики Зниження

Згідно з посібником адміністратора Okta на 2025 рік, організації можуть активувати:

• Нативні ключі FIDO2 (режим за замовчуванням).
• Вхід з різних пристроїв (для пристроїв без нативного ключа).
• Одноразові паролі (електронна пошта/SMS).

Успіх PoisonSeed залежав від дозволу входу з різних пристроїв без додаткових перевірок засвідчення або перевірки криптографічної прив’язки. Цей “спрощений” користувацький досвід ненавмисно знизив рівень впевненості з Hardware Attested (AAL3 відповідно до NIST SP 800-63) до безпеки, подібної до OTP (AAL2).

Останні Новини та Експертні Думки

У червні 2025 року Агентство з кібербезпеки та безпеки інфраструктури (CISA) оновило свої Рекомендації щодо безпечної конфігурації, рекомендувавши відключити зниження для входу з різних пристроїв, якщо не впроваджені специфічні компенсуючі контролі, такі як:

• Список дозволених мереж для аутентифікаційних серверів.
• Виявлення аномалій у реальному часі при змінах геолокації.
• Додаткові заходи для підвищених привілеїв—навіть з дійсними ключами.

“FIDO доведено стійким, але його безпека залежить від правильної реалізації та посилення політик,” говорить Ананд Лакшманан, технічний директор CyberTrust Labs.

Стратегії Пом’якшення та Кращі Практики

1. Впровадити Режим строгого FIDO2, де дозволені лише платформні або роумінгові аутентифікатори.
2. Вимкнути або чітко обмежити вхід з різних пристроїв або SMS OTP у політиці MFA.
3. Реалізувати безперервну аутентифікацію на основі ризику—ініціюючи підвищення для незвичних IP-адрес, пристроїв або географій.
4. Регулярно перевіряти журнали аутентифікації та проводити симуляції фішингу з метою тестування механізмів зниження.

Перспективи: Еволюція Стандартів MFA

Дорожня карта FIDO Alliance на 2026 рік включає:

• Покращену підтримку мультпротоколів (гибридні облікові дані з паролями + FIDO2).
• Стандартизовану анулювання засвідчення для загублених або скомпрометованих аутентифікаторів.
• Покращені API для управління ключами в підприємствах для міграції ключів між пристроями.

Ці нововведення спрямовані на закриття будь-яких політичних прогалин, які можуть використати зловмисники, при цьому зберігаючи зручність для кінцевих користувачів.

Висновок

На відміну від сенсаційних заголовків, криптографічні гарантії FIDO залишаються незмінними. Кампанія PoisonSeed виявила вразливість на рівні політики зниження, а не недолік у самій специфікації FIDO. Організаціям слід переглянути та посилити свої конфігурації MFA, забезпечуючи, щоб механізми зниження не підривали ту сильну безпеку, для якої FIDO був розроблений.