- Los expertos advierten que Fido no es compatible con ciertos clientes al acceder a Entra ID
- Esto desencadena un mecanismo de inicio de sesión de respaldo que se puede recoger
- Se deben establecer mitigaciones, dicen los investigadores
Con sede en Fido aplicaciones de autenticador se consideran una de las defensas prácticas más fuertes contra el phishing y el robo de credenciales, pero a juzgar por la última investigación de Proofpoint, no está exenta de debilidades.
Los investigadores de la compañía dicen que han encontrado una manera de obligar a un objetivo a abandonar la autenticación basada en FIDO por un método de inicio de sesión más débil que puede recogirse en tránsito.
De esa manera, a pesar de estar protegidas por defensas estándar de la industria, las víctimas aún pueden terminar perdiendo acceso a cuentas clave.
Falta de características de seguridad
La “debilidad” en este escenario es que no todos los navegadores apoyan a Fido. Safari En Windows, por ejemplo, no es compatible con la autenticación basada en FIDO en Microsoft ID de Entra, y cuando un usuario con dicha configuración intenta iniciar sesión, se le ofrece una alternativa: una contraseña de un solo tiempo entrega de SMS, correo electrónico o un mensaje de consentimiento OAuth.
Todos estos se pueden recoger a través de un ataque adversario en el medio (AITM), transmitido a los atacantes y solía iniciar sesión en la cuenta.
“Esta brecha aparentemente insignificante en la funcionalidad puede ser aprovechada por los atacantes”, dijo Proofpoint en su informe.
“Un actor de amenaza puede ajustar el AITM para falsificar un agente de usuarios no compatible, que no es reconocido por una implementación de FIDO. Posteriormente, el usuario se vería obligado a autenticarse a través de un método menos seguro. Este comportamiento, observado en las plataformas de Microsoft, es una medida de seguridad faltante”.
Hasta ahora, Proofpoint dice que no hay evidencia de que este método esté siendo abuso en la naturaleza, y especula que los actores de amenaza aún más bien se dirigen a cuentas sin autenticación multifactor (MFA) en primer lugar.
Sin embargo, a medida que más y más empresas implementan esta técnica anti-phishing, trabajar en la autenticación basada en FIDO podría captarse.
Para minimizar el riesgo, las empresas deben desactivar los métodos de autenticación alternativos para cuentas clave, o al menos activar cheques adicionales cuando se activa una alternativa.
A través de Computadora Bleeping
