Ciberseguridad 360 | PoisonSeed elude FIDO con phishing

Investigadores en ciberseguridad han revelado una novedosa t�cnica de ataque que permite a los autores de amenazas reducir la protecci�n de las claves FIDO (Fast IDentity Online) enga�ando a los usuarios para que aprueben solicitudes de autenticaci�n procedentes de portales de inicio de sesi�n falsos.

Las claves FIDO son autenticadores basados en hardware o software dise�ados para eliminar la suplantaci�n de identidad vinculando los inicios de sesi�n a dominios espec�ficos mediante criptograf�a de clave p�blica-privada. En este caso, los agresores se aprovechan de una funci�n leg�tima -el inicio de sesi�n a trav�s de dispositivos- para enga�ar a las v�ctimas y hacerlas autenticar sesiones maliciosas sin saberlo.

La actividad, observada por Expel como parte de una campa�a de phishing en la naturaleza, se ha atribuido a un actor de amenazas llamado PoisonSeed, que recientemente fue se�alado por aprovechar credenciales comprometidas asociadas con herramientas de gesti�n de relaciones con los clientes (CRM) y proveedores de correo electr�nico masivo para enviar mensajes de spam que contienen frases semilla de criptomoneda y vaciar las carteras digitales de las v�ctimas.

"El atacante aprovecha las funciones de inicio de sesi�n entre dispositivos disponibles con las claves FIDO", explican los investigadores Ben Nahorney y Brandon Overstreet. "Sin embargo, los malos actores en este caso est�n utilizando esta caracter�stica en ataques adversary-in-the-middle (AitM)".

Esta t�cnica no funciona en todos los escenarios. Se dirige espec�ficamente a los usuarios que se autentican a trav�s de flujos entre dispositivos que no aplican comprobaciones de proximidad estrictas, como Bluetooth o la atestaci�n de dispositivos locales. Si el entorno de un usuario exige claves de seguridad de hardware conectadas directamente al dispositivo de inicio de sesi�n, o utiliza autenticadores vinculados a la plataforma (como Face ID vinculado al contexto del navegador), la cadena de ataque se rompe.

El inicio de sesi�n entre dispositivos permite a los usuarios iniciar sesi�n en un dispositivo que no tiene una clave de acceso utilizando un segundo dispositivo que s� tiene la clave criptogr�fica, como un tel�fono m�vil.

La cadena de ataque documentada por Expel comienza con un correo electr�nico de phishing que induce a los destinatarios a iniciar sesi�n en una p�gina de inicio de sesi�n falsa que imita el portal Okta de la empresa. Una vez que las v�ctimas introducen sus credenciales, la informaci�n de inicio de sesi�n es transmitida sigilosamente por el sitio falso a la p�gina de inicio de sesi�n real.

A continuaci�n, el sitio de phishing indica a la p�gina de inicio de sesi�n leg�tima que utilice el m�todo de transporte h�brido para la autenticaci�n, lo que hace que la p�gina muestre un c�digo QR que posteriormente se env�a de vuelta al sitio de phishing y se presenta a la v�ctima.

Si el usuario escanea el c�digo QR con la aplicaci�n de autenticaci�n en su dispositivo m�vil, permite a los atacantes obtener acceso no autorizado a la cuenta de la v�ctima.

"En el caso de este ataque, los ciberdelincuentes han introducido el nombre de usuario y la contrase�a correctos y han solicitado el inicio de sesi�n entre dispositivos", explica Expel.

"El portal de inicio de sesi�n muestra un c�digo QR, que el sitio de phishing captura inmediatamente y devuelve al usuario en el sitio falso. El usuario lo escanea con su autenticador MFA, el portal de inicio de sesi�n y el autenticador MFA se comunican, y los atacantes est�n dentro".

Lo que hace que el ataque sea digno de menci�n es que elude las protecciones ofrecidas por las claves FIDO y permite a los actores de la amenaza obtener acceso a las cuentas de los usuarios. El m�todo no aprovecha ning�n fallo en la implementaci�n de FIDO. M�s bien, abusa de una caracter�stica leg�tima para degradar el proceso de autenticaci�n.

Aunque FIDO2 est� dise�ado para resistir la suplantaci�n de identidad, su flujo de inicio de sesi�n entre dispositivos -conocido como transporte h�brido- puede utilizarse indebidamente si no se aplica la verificaci�n por proximidad, como Bluetooth. En este flujo, los usuarios pueden iniciar sesi�n en un ordenador de sobremesa escaneando un c�digo QR con un dispositivo m�vil que contenga su clave de acceso.

Sin embargo, los atacantes pueden interceptar y retransmitir ese c�digo QR en tiempo real a trav�s de un sitio de phishing, enga�ando a los usuarios para que aprueben la autenticaci�n en un dominio falso. Esto convierte una funci�n segura en una brecha de phishing, no debido a un fallo del protocolo, sino a su flexible implementaci�n.

Expel tambi�n dijo que observ� un incidente separado en el que un actor de amenaza inscribi� su propia clave FIDO despu�s de comprometer una cuenta a trav�s de un correo electr�nico de phishing y restablecer la contrase�a del usuario.

Para proteger mejor las cuentas de los usuarios, las organizaciones deben combinar la autenticaci�n FIDO2 con comprobaciones que verifiquen el dispositivo utilizado. Cuando sea posible, los inicios de sesi�n deben realizarse en el mismo dispositivo que contiene la clave, lo que limita el riesgo de suplantaci�n de identidad. Los equipos de seguridad deben estar atentos a inicios de sesi�n con c�digos QR inusuales o nuevas inscripciones de claves. Las opciones de recuperaci�n de cuentas deben utilizar m�todos resistentes al phishing, y las pantallas de inicio de sesi�n -especialmente las de inicio de sesi�n entre dispositivos- deben mostrar detalles �tiles como la ubicaci�n, el tipo de dispositivo o advertencias claras para ayudar a los usuarios a detectar actividades sospechosas.

En todo caso, los resultados subrayan la necesidad de adoptar una autenticaci�n resistente al phishing en todos los pasos del ciclo de vida de una cuenta, incluidas las fases de recuperaci�n, ya que el uso de un m�todo de autenticaci�n susceptible de phishing puede socavar toda la infraestructura de identidad.

"Los ataques AitM contra claves FIDO y claves FIDO controladas por atacantes son s�lo el �ltimo de una larga serie de ejemplos en los que los malos actores y los defensores suben la apuesta en la lucha por comprometer/proteger las cuentas de los usuarios", a�aden los investigadores.

Fuente: thehackernews.com