Sessies binnen Entra ID zijn te kapen als de juiste authenticatie uit staat. Door een nieuwe aanval kunnen kwaadwillenden een FIDO-downgrade uitvoeren en accounts overnemen.
Gelukkig voor Microsoft waren het niet cyberaanvallers, maar Proofpoint-onderzoekers die de exploitatie ontdekten. Het technische vernuft zit in de eenvoud van de uitvoering. De aanvallers passen simpelweg de browseridentificatie aan, waardoor Microsoft Entra ID automatisch FIDO-authenticatie uitschakelt en een foutmelding genereert. Deze fout prompts de gebruiker om een alternatieve verificatiemethode te kiezen.
De aanval start wanneer het doelwit een phishing-link volgt via e-mail of SMS. De malafide website gebruikt een aangepaste phishlet binnen het Evilginx adversary-in-the-middle (AiTM) framework. Een phishlet is in feite een configuratiebestand voor phishing-pagina’s. Deze site gebruikt een proxy voor de legitieme Microsoft Entra ID-formulieren, maar spooft tegelijkertijd een niet ondersteunde browser user agent.
Bypass van phishing-resistente authenticatie
Voor een geslaagde aanval hadden de onderzoekers wel een browser nodig zonder FIDO-ondersteuning. Door Safari op Windows na te bootsen, een combinatie van browser en OS dat geen FIDO-authenticatie ondersteunt, worden gebruikers gedwongen over te stappen op alternatieve verificatiemethodes zoals de Microsoft Authenticator-app of SMS-codes.
Zodra de gebruiker overschakelt naar een zwakkere authenticatiemethode, kan de AiTM-proxy zowel de accountgegevens als de MFA-token of sessie-cookie onderscheppen. De aanvaller importeert vervolgens de gestolen cookie in een eigen browser, waarmee volledige toegang tot het slachtofferaccount verkregen wordt.
Beperkte praktische toepassing
Voortaan is deze techniek nog niet waargenomen in werkelijke aanvallen. Proofpoint geeft aan dat cybercriminelen zich momenteel richten op eenvoudigere doelwitten, zoals accounts zonder MFA-bescherming. Het risico blijft echter aanwezig, vooral voor gerichte aanvallen op specifieke organisaties of individuen. Een campagne op schaal kan al gauw een of een paar accounts overnemen, met potentiële datalekken of IP-diefstal tot gevolg.
Voor sommige lezers zal deze techniek bekend voorkomen. De aanval verschilt echter van een eerdere FIDO-downgrade techniek genaamd ‘PoisonSeed’ van Expel-onderzoekers. Die methode bleek uiteindelijk praktisch onuitvoerbaar door nabijheidseisen die frauduleuze authenticatieverzoeken deden mislukken. Een vals alarm dus.
Beveiligingsmaatregelen
Organisaties kunnen het risico beperken door fallback-authenticatiemethodes uit te schakelen waar mogelijk. Ook het activeren van aanvullende controles en bevestigingen wanneer dergelijke processen getriggerd worden, kan helpen.
Voor eindgebruikers geldt: wantrouw plotselinge verzoeken om een andere authenticatiemethode te gebruiken dan de geregistreerde passkey. Dit is vaak een rode vlag die aangeeft dat er iets mis is met het inlogproces.
Hoewel de aanval geen kwetsbaarheid in FIDO zelf aantoont, bewijst het dat het systeem te omzeilen is. Dit is een cruciale zwakte, vooral gezien de toegenomen adoptie van FIDO-gebaseerde authenticatie in kritieke omgevingen, waar de technologie wordt gepresenteerd als extreem phishing-resistent. Uiteindelijk moeten wel alle gebruikers door FIDO ondersteunde browser gebruiken, iets dat maar lastig te garanderen is.