A PoisonSeed adathalász kampány támadói képesek megkerülni a FIDO2 biztonsági kulcsok védelmét azáltal, hogy a WebAuthn kereszt-eszközös (cross-device sign-in) bejelentkezési funkcióját kihasználva megtévesztik a felhasználókat, és ráveszik őket, hogy jóváhagyják a hamis vállalati portálokról érkező bejelentkezési hitelesítési kérelmeket. Az Expel által megfigyelt legújabb adathalász támadás során a PoisonSeed szereplők nem a FIDO2 biztonsági rendszerének hibáját használják ki, hanem a legitim kereszt-eszközös hitelesítési funkcióval élnek vissza. A PoisonSeed leginkább a pénzügyi csalásokra irányuló, széles körű adathalász támadásoktól vált ismertté.

A kereszt-eszközös hitelesítés (cross-device authentication) egy WebAuthn-funkció, amely lehetővé teszi a felhasználóknak, hogy bejelentkezzenek egy eszközön egy másik eszközön lévő biztonsági kulccsal vagy hitelesítési alkalmazással. Fizikai kapcsolat (például a biztonsági kulcs csatlakoztatása) helyett az eszközök közötti hitelesítési kérelem Bluetooth-on vagy QR-kód beolvasásán keresztül továbbítódik.

 A támadási folyamat a következő lépésekből áll (1. ábra):

1. A felhasználókat egy vállalati bejelentkezési portált (például Okta vagy Microsoft 365) utánzó adathalász oldalra irányítják.
2. Amikor a felhasználó megadja a hitelesítő adatait ezen az oldalon, a kampány egy „adversary-in-the-middle” (AiTM) mechanizmust használ, amely valós időben, észrevétlenül továbbítja a megadott hitelesítő adatokat a valódi bejelentkezési portál felé. Az áldozat normál esetben FIDO2 biztonsági kulcsokat használna a többfaktoros hitelesítési kérelmek (multi- factor authentication) megerősítéséhez.
3. Azonban az adathalász mechanizmus ehelyett arra utasítja a valódi bejelentkezési portált, hogy kereszt-eszközös hitelesítéssel autentikáljon.
4. Ennek hatására a valódi portál QR-kódot generál, amelyet visszaküldenek az adathalász oldalra, ahol azt megjelenítik a felhasználónak.
5. Amikor a felhasználó ezt a QR-kódot beolvassa okostelefonjával vagy hitelesítési alkalmazásával, az jóváhagyja a támadó által elindított bejelentkezési kísérletet.

Ez a módszer megkerüli a FIDO2 biztonsági kulcsok védelmét, mivel a támadók olyan bejelentkezési folyamatot indítanak, amely kereszt-eszközös hitelesítésre támaszkodik, nem pedig a felhasználó fizikai FIDO2 kulcsára.

Az Expel hangsúlyozza, hogy ez a támadás nem a FIDO2 megvalósításának hibáját használja ki, hanem egy olyan legitim funkcióval él vissza, amely meggyengíti a FIDO-kulcsos hitelesítési folyamatot.

A kockázat csökkentésének érdekében az Expel a következő intézkedéseket javasolja:

• A felhasználók bejelentkezési helyének földrajzi korlátozása, valamint egy gyakran utazók számára kialakított regisztrációs folyamat bevezetése.
• Az ismeretlen helyekről, valamint ismeretlen márkájú biztonsági kulccsal történő FIDO kulcs regisztrációk rendszeres ellenőrzése.
• A Bluetooth-alapú hitelesítés kötelezővé tételének megfontolása a kereszt-eszközös hitelesítés során, amely jelentősen csökkenti a távoli adathalász támadások hatékonyságát.

Ez a támadás jól mutatja, hogyan tudják a támadók megkerülni a fejlett, adathalászatnak ellenálló hitelesítési megoldásokat, úgy, hogy a felhasználókat olyan bejelentkezési folyamatokra veszik rá, ahol már nincs szükség fizikai interakcióra a biztonsági kulcs használatánál.

(forrás, forrás)