A biztonsági szakértők egy új, úgynevezett downgrade-támadást dolgoztak ki, amellyel a Microsoft Entra ID-ben alkalmazott FIDO-azonosítás megkerülhető. Ennek során a támadó olyan módszer alkalmazására kényszeríti a felhasználót, amely már nem ellenálló az adathalászat vagy a munkamenet-eltérítés ellen.
Hogyan működik a FIDO, és mi a probléma?
A FIDO passkey lényege, hogy kiiktatja a jelszavakat, sőt a hagyományos többfaktoros hitelesítést is. A belépéshez használt titkos kulcsrészlet kizárólag a felhasználó eszközén marad, így azt elvileg nem lehet lehallgatni vagy eltulajdonítani. A Microsoft Entra ID-val védett fiókok emiatt rendkívül biztonságosnak számítanak – egészen mostanáig.
Így kerülik ki a védelmet
A támadók az Evilginx nevű eszközben egyedi modult készítettek, amely a böngésző “user agent” azonosítóját meghamisítja, így azt szimulálja, hogy a felhasználó olyan böngészőt használ, amely nem támogatja a FIDO-t. Konkrétan a kutatók a Safari böngészőt “telepítették” Windowsra, amely hivatalosan nem működik együtt a FIDO-azonosítással.
Ez a trükk azt eredményezi, hogy a Microsoft Entra ID egyszerű hibaüzenetet ad, majd felajánlja a gyengébb alternatívákat: például az Authenticator alkalmazást, SMS-kódot vagy egyszeri jelszót. Ha a célszemély ezek bármelyikét választja, a támadó az Evilginx segítségével mind a hitelesítési adatokat, mind a munkamenet-sütit megszerzi. Ezt a sütit importálva a támadó teljes körű hozzáférést kap az áldozat fiókjához – vagyis éppen ahhoz, amit a FIDO-nak meg kellene akadályoznia.
Bizonyítottan eddig még nem használták tömegesen ezt a módszert, a legtöbb támadás továbbra is a sebezhetőbb, MFA nélküli fiókok ellen irányul. Ám célzott támadásoknál a kockázat jelentős. Megelőzésként ajánlott kikapcsolni az alternatív hitelesítési módszereket, vagy további ellenőrzéseket bevezetni, ha például egy megszokottól eltérő bejelentkezési mód jelenik meg. Ha pedig a rendszer szokatlan módon alternatív azonosítást kér, inkább szakítsd meg a folyamatot, és ellenőrizd hivatalos csatornán.
Más downgrade trükkök és ezek buktatói
Az Expel kutatói júliusban egy másik FIDO-lefokozó támadással próbálkoztak: egy hamis oldalra csalták az áldozatot, ahol QR-kódot generáltak, hogy azt egy másik eszközzel beolvassa. Bár a módszer érdekes volt, kiderült, hogy a gyakorlatban nem működőképes, mert a sikeres azonosításhoz bizonyos fizikai közelség szükséges – így ez a csalási kísérlet megbukott.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te mit gondolsz, mennyire lehet megbízni az ilyen alternatív hitelesítési megoldásokban?
Szerinted helyes lenne minden gyengébb hitelesítési lehetőséget teljesen letiltani?
Ha ilyen trükkös helyzettel találkoznál, mit tennél azonnal?
🐔 Érdekes felvetés, hogy míg a repülőtéri ellenőrök szinte mindent elkoboznak, amit folyékonynak vagy gyanús tárgynak gondolnak, addig egész grillcsirkéket akár korlátlan mennyiségben vihetsz a kézipoggyászban a fedélzetre...
Megemlíthető továbbá, hogy a Minisforum jelentősen bővíti a hálózati adattárolók sorát: az új All-Flash S5 és All-Flash S7 modellek kizárólag SSD-meghajtókat támogatnak, így hangos merevlemezek helyett villámgyors és néma adattárolást kínálnak...
A Demigod egy elképesztően látványos és fantáziadús stratégiai játék, ahol dinoszauruszok, óriások és félistenek küzdenek egymással egy grandiózus, de kissé zavaros világban...
💸 Két vezető japán brókercég, az SBI Securities és a Rakuten Securities arra készül, hogy hamarosan kriptovaluta-befektetési alapokat kínáljon ügyfeleinek...
Felmerül a kérdés, hogy mivel lehet kitűnni a Minecrafthoz hasonló, tömbös látványvilágú játékok világából, ha mindenki szinte ugyanazzal próbálkozik...
Egy ír egyetemen dolgozó kutatócsoport véletlenül bukkant rá a legrégebbi fennmaradt angol versre, miközben egy középkori könyvet lapozgatott egy római könyvtár digitalizált gyűjteményében...
💰 Ilyen eset például, amikor a Bitcoin körül egyre többen keresik, hogyan lehetne a világ legrégebbi blokkláncát végre nemcsak értéktárolásra használni, hanem valódi DeFi (decentralizált pénzügyi) alkalmazásokat futtatni rajta...
A Civilizáció 7 (Civilization 7) legújabb frissítése hétfőn fut be, és meglepetésként minden játékos számára elérhetővé teszi a történelem egyik leghíresebb hadvezérét, Nagy Sándort...
A Kelet-Szudánban, a hatalmas Atbai-sivatagban többéves kutatómunka alatt 260 hatalmas, kör alakú temetőt sikerült azonosítani, amelyek jóval az ókori Egyiptom létrejötte előtt épültek...
Erre jellemző példa, hogy a csillagászok egy lenyűgöző, új felvételt készítettek az Örvény-galaxisról (Whirlpool Galaxy, Messier 51), amely közelebb visz bennünket a csillagok születésének rejtélyeinek megértéséhez...
💸 A digitális világban minden eddiginél könnyebb pénztárca nélkül áldozattá válni. Egy friss kutatás szerint a sötét weben mindössze 4500 forintért hozzá lehet jutni egy brit bankkártya teljes adataihoz, míg egy teljes digitális azonosítócsomag 15 ezer forintba kerül...
Jellemző példa erre, hogy Arizonában több mint 150 levágott fejet tárolnak kriogén kamrákban abban a reményben, hogy a jövő orvostudománya egyszer újra életre keltheti őket egy másik testben...
Egy tizenkilencedik századi kézirat került elő Rómában, amely igazi szenzációnak számít a nyelvészek és irodalomtudósok körében: a Trinity College Dublin kutatóinak sikerült azonosítani az egyik legkorábbi, ma ismert angol vers egyik legrégebbi változatát...
A Riválisok (Rivals) második évadának első három epizódja már elérhető a Hulu-n és a Disney+-on, viszont a rajongók csalódottan tapasztalhatják, hogy a szezon második felére idén még várni kell...
Érdemes megvizsgálni, hogy tényleg mindenáron kerülni kell-e a jojódiétát. Az évek óta tartó rettegés, miszerint az ismétlődő fogyás és visszahízás árthat az egészségnek, úgy tűnik, nem támasztható alá meggyőző tudományos bizonyítékokkal...
Egy Spanyolországban talált, 150 millió éves, elképesztően jól megmaradt sztégoszaurusz-koponya alapjaiban változtatja meg mindazt, amit eddig a dinoszauruszok fejlődéséről tudtunk...
A Kongói Demokratikus Köztársaság és Uganda területén kitört ebola-járványt vasárnap nemzetközi jelentőségű egészségügyi vészhelyzetnek minősítette az Egészségügyi Világszervezet...
A Survivor – Görögország (Survivor Greece) forgatását azonnali hatállyal leállították, miután egy fiatal versenyző, Stavros Floros életveszélyes balesetet szenvedett...
