قال Expel أن التسمم قد وجد خفة ذكية من اليد لتجاوز هذه الخطوة الحاسمة. عندما يدخل المستخدم اسم المستخدم وكلمة المرور في موقع Okta المزيف ، يدخلهم أحد أعضاء فريق التسمم في الوقت الحقيقي في صفحة تسجيل الدخول إلى Okta حقيقية. مع توضيح منشور يوم الخميس لشرح:
في حالة هذا الهجوم ، أدخلت الممثلون السيئون اسم المستخدم وكلمة المرور الصحيحين وطلبوا تسجيل الدخول عبر الأجهزة. تعرض بوابة تسجيل الدخول رمز الاستجابة السريعة ، والذي يلتقطه موقع التصيد على الفور ويعود إلى المستخدم على الموقع المزيف. يقوم المستخدم بمسحها مع مصادقة MFA الخاصة بهم وبوابة تسجيل الدخول ومصادقة MFA ، ويتواصل المهاجمون.
تتجاوز هذه العملية – على الرغم من معقدة على ما يبدو – أي حماية تمنحها مفتاح FIDO ، وتتيح للمهاجمين إمكانية الوصول إلى حساب المستخدم المعرض للخطر ، بما في ذلك الوصول إلى أي تطبيقات ومستندات حساسة وأدوات توفرها مثل هذا الوصول.
كيف تجعل فيدو مثل هذه الهجمات مستحيلة
وقالت شركة الأمن إن النتيجة النهائية كانت هجومًا عدوانيًا في الوسط تم العبث به مع عملية رمز الاستجابة السريعة لتجاوز Fido MFA. كما ذكرنا سابقًا ، توقع كتاب Fido Spec تقنيات الهجوم هذه والدفاعات التي تجعلها مستحيلة ، على الأقل في الشكل الذي وصفه طرد. لو كانت عملية OKTA MFA المستهدفة تتبع متطلبات FIDO ، لكان تسجيل الدخول قد فشل لسببين على الأقل.
أولاً ، يجب أن يكون الجهاز الذي يوفر النموذج الهجين من المصادقة قريبًا جسديًا بما يكفي لجهاز المهاجم الذي يقوم بتسجيل الدخول إلى الاثنين للاتصال عبر البلوتوث. على عكس ما قاله Expel ، هذه ليست “ميزة أمنية إضافية”. إنه إلزامي. بدونها ، ستفشل المصادقة.
ثانياً ، سيكون التحدي الذي سيتعين على الجهاز الهجين توقيعه ملزمًا بمجال الموقع المزيف (هنا أوكتا[.]تسجيل دخول[.]كوم) وليس مجال OKTA.com الأصلي. حتى لو كان الجهاز الهجين كان على مقربة من جهاز المهاجم ، ستظل المصادقة تفشل ، لأن عناوين URL لا تتطابق.
ما يبدو أن طرده قد واجهه هو هجوم خفض فيدو MFA مع بعض أشكال MFA الأضعف. على الأرجح ، كانت هذه المصادقة الأضعف مماثلة لتلك المستخدمة لتسجيل الدخول إلى حساب Netflix أو YouTube على جهاز تلفزيون بهاتف. على افتراض أن هذا هو الحال ، فإن الشخص الذي أدار صفحة تسجيل الدخول إلى OKTA للمنظمة كان سيتعين عليه اختيار السماح لهذا الاحتياطي بشكل متعمد بوجود شكل أضعف من MFA. على هذا النحو ، يتم تصنيف الهجوم بشكل أكثر دقة على أنه هجوم فيدو فيدو ، وليس ممرًا.
