Bestimmte Implementierungen der FIDO-Authentifizierung – insbesondere Windows Hello for Business – können laut Proofpoint anfällig für Downgrade-Angriffe sein.
ymgerman | shutterstock.com
Der FIDO-Standard gilt allgemein als sicher und benutzerfreundlich. Er kommt für passwortlose Authentifizierung zum Einsatz und gilt als wirksames Mittel gegen Phishing-Versuche. Research-Experten des Sicherheitsanbieters Proofpoint haben nun allerdings eine neue Möglichkeit aufgetan, um die Authentifizierung auf FIDO-Basis auszuhebeln. Dazu entwickelten die Experten eine Downgrade-Angriffstechnik, die sie am Beispiel von Microsoft Entra ID durchgespielt haben.
So läuft der FIDO-Downgrade-Angriff ab
Phishing-Kampagnen scheitern für gewöhnlich an Konten, die mit FIDO-Passkeys abgesichert sind. Allerdings sind laut Proofpoint bestimmte FIDO-Implementierungen anfällig für Downgrade-Angriffe. Bei dieser Form der Attacke sollen die Benutzer dazu gebracht werden, auf eine weniger sichere Authentifizierungsmethode zurückzugreifen.
Der Ansatzpunkt für die Forscher war dabei der Fakt, dass nicht alle Webbrowser FIDO-Passkeys unterstützen – beispielsweise Safari unter Windows. Laut Proofpoint lässt sich diese funktionale Lücke von Angreifern ausnutzen. “Ein Cyberkrimineller kann einen Adversary-in-the-Middle- (AiTM-) Angriff anpassen, um einen nicht unterstützten Benutzeragenten vorzutäuschen, der von einer FIDO-Implementierung nicht erkannt wird. Anschließend wäre der Benutzer gezwungen, sich über eine weniger sichere Methode zu authentifizieren”, schreibt der Sicherheitsanbieter in einer Pressemitteilung.
