Az MI feltörheti a FIDO-védelmet a Microsoftnál?

Az MI feltörheti a FIDO-védelmet a Microsoftnál?
A biztonsági szakértők egy új, úgynevezett downgrade-támadást dolgoztak ki, amellyel a Microsoft Entra ID-ben alkalmazott FIDO-azonosítás megkerülhető. Ennek során a támadó olyan módszer alkalmazására kényszeríti a felhasználót, amely már nem ellenálló az adathalászat vagy a munkamenet-eltérítés ellen.

Hogyan működik a FIDO, és mi a probléma?

A FIDO passkey lényege, hogy kiiktatja a jelszavakat, sőt a hagyományos többfaktoros hitelesítést is. A belépéshez használt titkos kulcsrészlet kizárólag a felhasználó eszközén marad, így azt elvileg nem lehet lehallgatni vagy eltulajdonítani. A Microsoft Entra ID-val védett fiókok emiatt rendkívül biztonságosnak számítanak – egészen mostanáig.

Így kerülik ki a védelmet

A támadók az Evilginx nevű eszközben egyedi modult készítettek, amely a böngésző “user agent” azonosítóját meghamisítja, így azt szimulálja, hogy a felhasználó olyan böngészőt használ, amely nem támogatja a FIDO-t. Konkrétan a kutatók a Safari böngészőt “telepítették” Windowsra, amely hivatalosan nem működik együtt a FIDO-azonosítással.

Ez a trükk azt eredményezi, hogy a Microsoft Entra ID egyszerű hibaüzenetet ad, majd felajánlja a gyengébb alternatívákat: például az Authenticator alkalmazást, SMS-kódot vagy egyszeri jelszót. Ha a célszemély ezek bármelyikét választja, a támadó az Evilginx segítségével mind a hitelesítési adatokat, mind a munkamenet-sütit megszerzi. Ezt a sütit importálva a támadó teljes körű hozzáférést kap az áldozat fiókjához – vagyis éppen ahhoz, amit a FIDO-nak meg kellene akadályoznia.

Kik vannak veszélyben, és mit lehet tenni?

Bizonyítottan eddig még nem használták tömegesen ezt a módszert, a legtöbb támadás továbbra is a sebezhetőbb, MFA nélküli fiókok ellen irányul. Ám célzott támadásoknál a kockázat jelentős. Megelőzésként ajánlott kikapcsolni az alternatív hitelesítési módszereket, vagy további ellenőrzéseket bevezetni, ha például egy megszokottól eltérő bejelentkezési mód jelenik meg. Ha pedig a rendszer szokatlan módon alternatív azonosítást kér, inkább szakítsd meg a folyamatot, és ellenőrizd hivatalos csatornán.


Más downgrade trükkök és ezek buktatói

Az Expel kutatói júliusban egy másik FIDO-lefokozó támadással próbálkoztak: egy hamis oldalra csalták az áldozatot, ahol QR-kódot generáltak, hogy azt egy másik eszközzel beolvassa. Bár a módszer érdekes volt, kiderült, hogy a gyakorlatban nem működőképes, mert a sikeres azonosításhoz bizonyos fizikai közelség szükséges – így ez a csalási kísérlet megbukott.

2025, adrienne, www.bleepingcomputer.com alapján

  • Te mit gondolsz, mennyire lehet megbízni az ilyen alternatív hitelesítési megoldásokban?
  • Szerinted helyes lenne minden gyengébb hitelesítési lehetőséget teljesen letiltani?
  • Ha ilyen trükkös helyzettel találkoznál, mit tennél azonnal?



Legfrissebb posztok

Habos tengerek, tényleg ennyire ritka a szörnyhullám?
Tudomány

MA 16:03

Habos tengerek, tényleg ennyire ritka a szörnyhullám?

🌊 A tengerek titokzatos óriásai, az úgynevezett szörnyhullámok (rogue wave-ek), régóta izgalomban tartják a tengerészeket és a tudósokat egyaránt. Ezek a hirtelen felbukkanó, gyakran több mint 20 méter magas...

Az Apple-főnök igazi Trumpos ajándékot kapott
Színes

MA 15:51

Az Apple-főnök igazi Trumpos ajándékot kapott

📦 Tim Cook, az Apple vezérigazgatója kénytelen volt részt venni egy nyilvános eseményen a Fehér Házban, ahol Donald Trump elnök mellett átvett egy aranyállványos, üvegből készült díszplakettet. Klasszikus kínos...

A mai fű veszélyesebb, mint gondolnád: az új szorongásbomba
Tudomány

MA 15:25

A mai fű veszélyesebb, mint gondolnád: az új szorongásbomba

Az elmúlt húsz évben a kannabisz THC-tartalma drámai mértékben nőtt: a legtöbb legális, szárított fű Kanadában ma már 20% körüli, míg a 2000-es években csupán 4% volt. Ez...

Az MI bűvöletében támadják az N-central rendszereket
Színes

MA 14:51

Az MI bűvöletében támadják az N-central rendszereket

A CISA figyelmeztetést adott ki, mert két súlyos sebezhetőséget kihasználva támadók valódi támadásokat hajtanak végre az N-able N-central távfelügyeleti platform ellen. Az N-central-t elsősorban informatikai szolgáltató cégek és...

Az Adobe hibái: kritikus sebezhetőség, azonnali frissítés kell
Színes

MA 14:01

Az Adobe hibái: kritikus sebezhetőség, azonnali frissítés kell

Két veszélyes, eddig ismeretlen hibát foltozott be sürgősen az Adobe az Experience Manager Forms JEE rendszerében, miután nyilvánosságra került, hogy kihasználásukkal bárki távolról végzetes károkat okozhat. A hibák...

Tudomány

MA 13:50

Az Apollo–13 parancsnoka, Jim Lovell 97 évesen hunyt el

Jim Lovell, a NASA legendás űrhajósa, 97 éves korában elhunyt. Több küldetésen is járt az űrben: a Gemini–7, Gemini–12 és Apollo–8 missziók után ő kapta meg az Apollo–13...

Az MI chatbot végre nem felejt: Claude új trükkje
MI Hírek

MA 13:26

Az MI chatbot végre nem felejt: Claude új trükkje

🧠 A Claude chatbot, az Anthropic MI-je mostantól képes emlékezni a korábbi beszélgetéseidre – de csak akkor, ha ezt kéred tőle. A hétfőn bevezetett memóriafunkció segítségével Claude átkutatja és...

Az Android szupertrezorja: a legmagasabb biztonsági szintet kapta
MI Hírek

MA 13:01

Az Android szupertrezorja: a legmagasabb biztonsági szintet kapta

🔒 A Google bejelentette, hogy az Android rendszer védett, Kernel-alapú virtuális gépe (pKVM) megszerezte a SESIP 5-ös szintű tanúsítványt, amely jelenleg az IoT- és mobilplatformok legmagasabb hivatalos biztonsági minősítése....

Óriási fekete lyukat fedeztek fel az Univerzumban
Tudomány

MA 12:51

Óriási fekete lyukat fedeztek fel az Univerzumban

👀 Az Univerzum ismert határait feszegető felfedezés izgatja most a csillagászokat: egy gigászi méretű fekete lyukat azonosítottak, amely nemcsak a Tejútrendszer központjában lévőnél tízezerszer nagyobb, de a létező elméleti...

MI Hírek
Az Apple végre feldobja a házi MI-t – Siri most már mozogni is tud? 🚀 MA 12:26
Színes
Az igazság pillanata: Afrika végre helyére kerül a világtérképen MA 12:01
MI Hírek
Az MI és az emberi agy nagy találkozása közeleg MA 11:51
Tudomány
Hízlalnak-e az ultrafeldolgozott ételek, vagy csak túlzás az aggodalom? 🤔 MA 10:53
MI Hírek
Ma még inkább véd, mint támad az MI a hackerekkel szemben 🔒 MA 10:41
Tudomány
Ősi szörnyek lepik el a Grand Canyont MA 10:28
Színes
Frissítsd a géped, különben baj lehet az augusztusi biztonsági hibák miattMA 10:15
MI Hírek
Olcsó MI-forradalom, egy titkos adatformátum mindent felforgat 💰 MA 10:02
Színes
Az élet ára Zuckerberg titkos birodalmában MA 09:52
Tudomány
Az Erin trópusi vihar elkerüli Amerikát? 🌊 MA 09:40
Színes
A kritikus Fortinet-hiba: támadók már aktívan kihasználjákMA 09:14

Címlapon

A szárazság miatt éhínség pusztított, múmiává váltak a maják
A szárazság miatt éhínség pusztított, múmiává váltak a maják
Fogyó vízkészletek, egyre szárazabb világ
Fogyó vízkészletek, egyre szárazabb világ
Terjed Az MI-látszatjáték: a dolgozók színlelik a használatot
Terjed Az MI-látszatjáték: a dolgozók színlelik a használatot
Az MI-s Korlátlan Reklámgépezet: Így Etet Minket a Meta
Az MI-s Korlátlan Reklámgépezet: Így Etet Minket a Meta
Az eltűnt La Niña nyomában
Az eltűnt La Niña nyomában