A biztonsági szakértők egy új, úgynevezett downgrade-támadást dolgoztak ki, amellyel a Microsoft Entra ID-ben alkalmazott FIDO-azonosítás megkerülhető. Ennek során a támadó olyan módszer alkalmazására kényszeríti a felhasználót, amely már nem ellenálló az adathalászat vagy a munkamenet-eltérítés ellen.
Hogyan működik a FIDO, és mi a probléma?
A FIDO passkey lényege, hogy kiiktatja a jelszavakat, sőt a hagyományos többfaktoros hitelesítést is. A belépéshez használt titkos kulcsrészlet kizárólag a felhasználó eszközén marad, így azt elvileg nem lehet lehallgatni vagy eltulajdonítani. A Microsoft Entra ID-val védett fiókok emiatt rendkívül biztonságosnak számítanak – egészen mostanáig.
Így kerülik ki a védelmet
A támadók az Evilginx nevű eszközben egyedi modult készítettek, amely a böngésző “user agent” azonosítóját meghamisítja, így azt szimulálja, hogy a felhasználó olyan böngészőt használ, amely nem támogatja a FIDO-t. Konkrétan a kutatók a Safari böngészőt “telepítették” Windowsra, amely hivatalosan nem működik együtt a FIDO-azonosítással.
Ez a trükk azt eredményezi, hogy a Microsoft Entra ID egyszerű hibaüzenetet ad, majd felajánlja a gyengébb alternatívákat: például az Authenticator alkalmazást, SMS-kódot vagy egyszeri jelszót. Ha a célszemély ezek bármelyikét választja, a támadó az Evilginx segítségével mind a hitelesítési adatokat, mind a munkamenet-sütit megszerzi. Ezt a sütit importálva a támadó teljes körű hozzáférést kap az áldozat fiókjához – vagyis éppen ahhoz, amit a FIDO-nak meg kellene akadályoznia.
Bizonyítottan eddig még nem használták tömegesen ezt a módszert, a legtöbb támadás továbbra is a sebezhetőbb, MFA nélküli fiókok ellen irányul. Ám célzott támadásoknál a kockázat jelentős. Megelőzésként ajánlott kikapcsolni az alternatív hitelesítési módszereket, vagy további ellenőrzéseket bevezetni, ha például egy megszokottól eltérő bejelentkezési mód jelenik meg. Ha pedig a rendszer szokatlan módon alternatív azonosítást kér, inkább szakítsd meg a folyamatot, és ellenőrizd hivatalos csatornán.
Más downgrade trükkök és ezek buktatói
Az Expel kutatói júliusban egy másik FIDO-lefokozó támadással próbálkoztak: egy hamis oldalra csalták az áldozatot, ahol QR-kódot generáltak, hogy azt egy másik eszközzel beolvassa. Bár a módszer érdekes volt, kiderült, hogy a gyakorlatban nem működőképes, mert a sikeres azonosításhoz bizonyos fizikai közelség szükséges – így ez a csalási kísérlet megbukott.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te mit gondolsz, mennyire lehet megbízni az ilyen alternatív hitelesítési megoldásokban?
Szerinted helyes lenne minden gyengébb hitelesítési lehetőséget teljesen letiltani?
Ha ilyen trükkös helyzettel találkoznál, mit tennél azonnal?
Ha valaki több mint egy évtizede játszott a Rhythm Heavennel, valószínűleg sosem felejtette el azt a különös, szürreális világot, ahol dadogó pankrátorok és furcsa madarak ugrálnak egy lélekmelengető popdallamra...
A brit távközlési piac gigantikus átalakulása zajlik: az ország versenyhatósága kiemelt vizsgálatot indított annak kapcsán, hogy a Netomnia anyavállalatát, a Substantialt a Liberty Global, a Telefonica és az InfraVia konzorciuma felvásárolja...
Az Anthropic szerdától újra elérhetővé teszi a csúcskategóriás Claude Fable 5-öt, miután a Kereskedelmi Minisztérium feloldotta az exportkorlátozásokat...
Érdemes megvizsgálni, hogy a Claude Code felhasználói egyre gyakrabban panaszkodnak arra, hogy egyik napról a másikra eltűnnek a beszélgetési előzményeik...
Júliusban a Pokémon GO rajongóira izgalmas hónap vár, hiszen a mobileszközökön futó játék tizedik évfordulóját ünnepli, miközben a Forever Forward szezon tovább pörög...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. ImgRef (iPhone/iPad)Az App Store szerkesztői által kiemelten ajánlott alkalmazás lenyűgöző, 98%-os ötcsillagos értékeléssel büszkélkedhet...
❤ A hirtelen szívhalál évente rengeteg áldozatot követel, jóllehet a beültethető defibrillátorok már évtizedek óta képesek lennének megelőzni a tragédiák jelentős részét...
Michael Dell idén egészen elképesztő sikereket ér el: cége meghatározó beszállító lett az adatközpont-fejlesztésekben, többek között a CoreWeave és az xAI számára szállít Nvidia-alapú szervereket, rackeket, hűtőrendszereket, valamint támogatást, miközben együttműködik a Microsofttal, a Google-lel és az OpenAI-jal is nagy teljesítményű MI-rendszerek építésében...
💰 Egy észak-karolinai férfi több mint tíz év börtönt kapott, miután beismerte, hogy januárban Pokémon-kártyákat és pénzt lopott egy helyi videójátékbolt alkalmazottjától Wilmingtonban...
🍇 Idén június 29-én érdemes az eget figyelni: ekkor látható a júniusi telihold, más néven az Eperhold (Strawberry Moon), ami az év legalacsonyabban járó és egyik legkisebb teliholdja lesz...
A mexikói Metapában egy vadonatúj, 2043 négyzetméteres üzemben indult el az Egyesült Államok mezőgazdasági minisztériumának (USDA) legújabb programja: steril legyek tömeges előállítása...
⚡ A Microsoft az eddigieknél sokkal gyorsabban készül átállni a kvantumbiztos védelemre, mert a kvantumszámítógépek fejlődése minden korábbinál nagyobb fenyegetést jelent a jelenlegi titkosítási szabványokra...
Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...
🔒 A Microsoft fejlesztéseinek köszönhetően mostantól jóval biztonságosabbak lesznek a Teams-megbeszélések, hiszen egy új szabályozás lehetővé teszi, hogy a felhasználók blokkolják az engedély nélküli, harmadik féltől származó botok csatlakozását...
A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...
⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...
🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..
A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...