新型 FIDO 降級攻擊曝光，可繞過微軟認證機制

　　8 月 14 日消息，科技媒體 bleepingcomputer 于 8 月 13 日發布博文稱，安全研究人員發現一種新型 FIDO 降級攻擊，該攻擊能夠繞過微軟 Entra ID 中的 FIDO 認證機制，誘使用戶采用較弱的驗證方式登錄，進而使用戶面臨中間人釣魚攻擊的風險。

　　FIDO 是 Fast Identity Online 的縮寫，是一套開放标準，旨在實現無密碼認證，以提升賬戶安全性。來自 Proofpoint 的安全專家近日披露了這種新型攻擊方式，其并非利用 FIDO 協議本身的漏洞，而是通過操縱浏覽器的 User Agent 信息(浏覽器向服務器标識自身信息的字符串，用于判斷設備與浏覽器兼容性)來實施攻擊。攻擊者會将 User Agent 僞裝成不支持 FIDO 的環境，使得系統自動關閉 FIDO 認證，并提示用戶選擇其他驗證方法。

　　攻擊流程通常始于釣魚鍊接。當用戶點擊該鍊接後，會被跳轉到由 Evilginx 等中間人攻擊框架搭建的僞造登錄頁面。此頁面雖代理了真實的 Entra ID 登錄表單，但攻擊者配置的 “phishlet” 模塊僞造了不支持 FIDO 的 User Agent。系統檢測到這一僞造信息後，會禁用 FIDO 功能，并返回錯誤提示，引導用戶選擇微軟驗證器應用、短信驗證碼或一次性密碼等替代驗證方式。而這些替代方法的驗證數據在傳輸過程中可被攻擊者截取。

　　一旦用戶完成替代驗證，攻擊者即可通過代理服務器獲取完整的登錄憑證及會話 Cookie，并将其導入本地浏覽器，從而完全接管用戶賬戶。盡管目前尚未出現實際利用該攻擊方式的案例，但相關專家指出，這種攻擊适用于高度針對性的高級持續性威脅場景，企業和用戶需保持警惕，加強安全防範措施，如定期更新系統和安全軟件、提高用戶安全意識等，以應對潛在的安全風險。