ArtemisDiana – shutterstock.com
FIDO-Schlüssel verwenden eine hardwarebasierte Multi-Faktor-Authentifizierung, um Schwachstellen anderer MFA-Methoden zu beheben. Der berüchtigten Krypto-Hackergruppe PoisonSeed ist es jedoch offenbar gelungen, diese zusätzliche Sicherung zu umgehen. Forscher von Expel sind auf eine Angriffskampagne der Gruppe gestoßen, bei der FIDO mit Hilfe einer neuen Social-Engineering-Taktik überlistet wird.
„Wenn ein Benutzer, dessen Konto durch einen FIDO-Schlüssel geschützt ist, seinen Benutzernamen und sein Passwort auf der Phishing-Seite eingibt, werden seine Anmeldedaten wie bei jedem anderen Benutzer gestohlen“, erklären die Security-Spezialisten den besonderen Schutz von FIDO in einem Blogbeitrag. „Da sein Konto jedoch durch FIDO geschützt ist, können die Angreifer nicht physisch mit der zweiten Form der Authentifizierung interagieren.“
Geräteübergreifender Komfort gerät ins Visier
PoisonSeed nutzt allerdings eine wenig bekannte Funktion vieler Identitätsplattformen aus: die geräteübergreifende Anmeldung per QR-Code. Angreifer verwenden dabei eine gefälschte Anmeldeseite, die oft Okta oder ähnliche Anbieter imitiert und nach der Eingabe des Passworts einen QR-Code anzeigt. Wenn der Benutzer diesen QR-Code mit einer legitimen Authentifizierungs-App scannt, wird die Sitzung abgeschlossen – allerdings für die Angreifer.
„Die Anmeldedaten werden mit einer gefälschten Okta-Seite erfasst und dann verwendet, um den geräteübergreifenden Anmeldeprozess aufzurufen, der einen QR-Code für legitime Zweitgeräte anzeigt“, erklärt Jason Soroko, Senior Fellow bei Sectigo, die Vorgehensweise. „Die Phishing-Website spiegelt diesen Code an den Benutzer zurück, der ihn mit einer Authentifizierungs-App scannte. Dadurch ist die FIDO-Prüfung abgeschlossen, obwohl der physische Schlüssel nie bewegt wurde.“
Durch dieses Manöver erhält der Angreifer eine aktive Sitzung, während der Schlüssel sicher in der Tasche des Opfers bleibt, was beweist, dass Social Engineering nach wie vor die Schwachstelle ist, fügt er hinzu.
Soroko empfiehlt, die geräteübergreifende Anmeldung nach Möglichkeit zu deaktivieren und auf unerwartete Geräteregistrierungen oder ungewöhnliche Standorte zu achten.
FIDO selbst ist nicht geknackt
Die Forscher von Expel bezeichnen die Kampagne als besorgniserregende Entwicklung, da FIDO-Schlüssel oft als Innovation im Bereich der sicheren MFA angesehen werden. „Wir haben zwar keine Schwachstelle in FIDO-Schlüsseln entdeckt, aber IT- und SecOps-Mitarbeiter sollten aufmerksam sein. Dieser Angriff zeigt, wie ein Krimineller einen installierten FIDO-Schlüssel umgehen kann.“
Experten schließen sich den Bedenken von Expel einstimmig an.„Diese Angriffe knacken nicht die Verschlüsselung von FIDO, sondern nutzen vertrauenswürdige alternative Anmeldemethoden wie QR-basierte Anmeldungen aus“, erklärt Darren Guccione, CEO und Mitbegründer von Keeper Security. Damit würden Benutzer dazu verleitet, unbeabsichtigt legitime Anmeldesitzungen zu initiieren, die vom Angreifer kontrolliert werden.
Die Stärke von FIDO liege in seinem hardwarebasierten Schutz, der nach wie vor unglaublich widerstandsfähig sei, fügte er hinzu.
„Unternehmen sollten die Warnung auf jeden Fall ernst nehmen und zusätzliche Sicherheitsmaßnahmen in Betracht ziehen, rät J Stephen Kowski, Field CTO bei SlashNext. Als Beispiel nennt er die Anforderung von Bluetooth-Nähe zwischen Geräten bei der geräteübergreifenden Authentifizierung. Gleichzeitig sollten die Sicherheitslösungen in der Lage sein, diese raffinierten Phishing-Versuche rechtzeitig zu erkennen und zu blockieren.
Für Benutzer, die die geräteübergreifende Anmeldung mit FIDO unbedingt aktiviert haben müssen, empfiehlt Expel, sorgfältig zu überprüfen, ob Anmeldeanfragen von verdächtigen Standorten stammen, und nach der Registrierung unbekannter, unerwarteter oder nicht vertrauenswürdiger Schlüssel zu suchen. (jm)