L’autenticazione FIDO (Fast Identity Online) consente l’accesso a risorse senza l’uso di password. È un conglomerato di standard che finisce con una certa periodicità sotto la lente del cyber crimine che ha particolare interesse nel riuscire a lenirne l’efficacia.

I ricercatori della società di cybersecurity Proofpoint hanno individuato una nuova minaccia, un attacco di downgrade dell’autenticazione FIDO che può – in linea potenziale – esporre i bersagli a minacce Adversary-in-the-Middle (AiTM).

Non è il caso di creare allarmismi, vale però la pena prendere ulteriormente nota che il cyber crimine è sempre in cerca di tecniche più evolute per tentare di annichilare gli sforzi fatti da chi lo contrasta.

Non c’è modo di dormire sonni tranquilli ma non c’è neppure il bisogno di dormire con un’arma carica sotto il cuscino.

FIDO e le minacce AiTM

Questa vulnerabilità si basa su phishlet, file di configurazioni per la clonazione di siti web e per l’intercettazione delle credenziali degli utenti.

I phishlet attuali si sono sempre scontrati con il livello di protezione offerto dall’autenticazione FIDO. Ora, però, i ricercatori di Proofpoint hanno dimostrato che, usando un phishlet appositamente modificato, gli attaccanti riescono a effettuare il downgrade delle autenticazioni basate su FIDO a metodi meno sicuri.

Un attacco AiTM, in breve, è un tipo phishing con cui il criminale si posiziona come intermediario tra la vittima e un servizio legittimo, intercettando le credenziali e i token di sessione inseriti su una pagina di login contraffatta.

I ricercatori hanno usato Microsoft Entra ID – non di rado impiegato per svolgere test – come bersaglio e contesto specifico non perché significativamente più vulnerabile, ma perché in grado di gestire il supporto FIDO mediante diversi browser e di consentire diverse modalità di autenticazione.

La scoperta dei ricercatori Proofpoint, è bene sottolinearlo, vale per tutti gli ambienti che supportano l’autenticazione FIDO.

Come funziona l’attacco

In modo schematico, è possibile strutturare l’attacco in quattro fasi. Va notato che, con l’opportuna formazione, l’operatore umano può rendersi conto delle evidenti anomalie che questo tipo di intrusione si porta appresso:

• Prima fase: l’utente riceve un link di phishing via email, sms, richiesta di consenso OAuth o altri canali.
• Seconda fase: cliccando sul link – e quindi su un URL derivato da un phishlet FIDO downgrade – l’utente riceve un errore di autenticazione che lo invita a usare un altro metodo di accesso.
• Terza fase: selezionando uno dei metodi di accesso alternativi proposti, l’utente viene direzionato verso un’interfaccia che rende visibili agli attaccanti le credenziali di accesso inserite.
• Quarta fase: alla fine di questo procedimento, i criminali ottengono l’accesso all’account della vittima senza dovere inserire credenziali e senza necessitare dell’intermediazione dell’autenticazione multi-fattore.

Da questo momento in poi gli attaccanti possono esfiltrare dati o muoversi lateralmente.

L’attacco fa affidamento sull’ esistenza di un metodo di autenticazione alternativo, oltre a FIDO, situazione peraltro abbondantemente diffusa anche solo per consentire agli utenti di provvedere da sé al recupero degli account.

Come anticipato, non è il caso di cedere ad allarmismi controproducenti, ci sono però delle attività che le organizzazioni possono svolgere per limitare i rischi.

Le osservazioni e i consigli di Proofpoint

Approfondiamo con Anna Akselevich, threat researcher di Proofpoint, alcuni aspetti cruciali messi in evidenza dai ricercatori.

Nella ricerca Proofpoint si legge che gli attacchi possono essere eseguiti a danno di Microsoft Entra ID “in un modo non limitato a una specifica implementazione”. Quali caratteristiche rendono un’implementazione FIDO suscettibile di simili attacchi?

“L’autenticazione FIDO è frequentemente implementata insieme ad altri metodi. Questo approccio multi-autenticazione è adottato per diverse ragioni pratiche, in quanto:

• Non sempre le chiavi di sicurezza degli utenti di dispositivi mobili sono supportate.
• Servono opzioni di autenticazione di fallback in caso di token di sicurezza persi o danneggiati.
• Garantire accesso continuo per i dipendenti in diversi scenari.

Di conseguenza, questa minaccia può verificarsi in qualsiasi ambiente che supporti la configurazione FIDO insieme ad altri metodi di autenticazione”.

Il presupposto prevede l’esistenza di un metodo di autenticazione alternativo (tipicamente MFA) per il recupero degli account. Quali le migliori pratiche che le organizzazioni possono adottare per ridurre l’esposizione al rischio?

“La best practice raccomanda l’uso esclusivo dell’autenticazione FIDO, integrata da robuste policy di accesso condizionale, che possono includere, tra gli altri:

• Limitare l’accesso solo ai dispositivi registrati.
• Implementare controlli di accesso basati sulla geografia tramite:
  • blocco a livello di paese;
  • inserimento in whitelist di regioni specifiche.
• Misure di sicurezza contestuali aggiuntive”.

In generale, quali segnali o comportamenti anomali dovrebbero monitorare le organizzazioni per prevenire attacchi di questa natura?

“Le organizzazioni possono implementare strategie di monitoraggio complete che si concentrano sul tracciamento delle variazioni nei modelli di utilizzo dell’autenticazione FIDO, sul monitoraggio di improvvisi passaggi a metodi di autenticazione meno sicuri e sull’analisi delle anomalie comportamentali degli utenti”.