Исследователи разработали атаку по понижению уровня FIDO в Microsoft Entra ID, заставляющую пользователей аутентифицироваться с помощью слабых методов.
Атака использует фреймворк Evilginx и подделку user agent, несовместимого с FIDO, например Safari на Windows.
В результате сервис отключает FIDO и предлагает менее безопасные способы проверки, такие как SMS или приложение Microsoft Authenticator.
Промежуточный прокси перехватывает учетные данные и сессионные куки, что позволяет захватить аккаунт.
Уязвимость не в самом протоколе FIDO, но показывает обход защиты и угрозу фишинга.
Для защиты рекомендуется отключить резервные методы аутентификации и проверять изменения метода входа.
Get notified when new stories are published for "Hacker News 🇷🇺 Русский"