毒种FIDO攻击被证实为误报:Expel撤回研究并道歉

Expel安全公司撤回其关于"PoisonSeed"攻击的研究报告,该报告声称攻击者可通过跨设备认证绕过FIDO安全密钥保护。经进一步审查,发现原始研究结果缺乏证据支持,FIDO规范要求设备近距离验证才能完成认证流程。

“PoisonSeed” FIDO攻击被证实为误报

Expel撤回了其"PoisonSeed"研究,在该研究中他们声称攻击者可以通过跨设备认证绕过FIDO安全密钥,并为造成的任何误解道歉。

亚历山大·库拉菲,Dark Reading高级新闻撰稿人 2025年7月18日 5分钟阅读

来源:Jason Edwards via Alamy Stock Photos

更新 上周,Expel的研究人员详细介绍了一种名为"PoisonSeed"的网络钓鱼攻击,他们称这种攻击可以利用跨设备认证来绕过受FIDO通行密钥保护的登录。但在本周,该公司罕见地撤回了其研究,Dark Reading此前曾对此进行过报道。

这家安全供应商的威胁情报团队今天发布了一篇题为"关于我们PoisonSeed博客的重要更新(和道歉)“的博客文章。该博客撤销了其先前的研究,公司表示"经过进一步审查,我们发现原始研究结果缺乏证据支持。”

在更新后的研究结果中,Expel指出,如果用户从攻击者处收到恶意QR码并用移动设备扫描它,“将启动FIDO跨设备认证流程,根据FIDO规范,这需要与生成QR码的设备(WebAuthn客户端)保持本地近距离,“Expel说。“当正确实施时,没有近距离的情况下,请求将超时并失败,“从而使任何潜在攻击变得无效。

公司感谢社区成员,特别是FIDO联盟,帮助"澄清误解”。Expel为错误道歉,并表示将努力确保未来更高的准确性。

“我们认识到,对这种规模的攻击尝试值得进行超出我们典型技术博客审查流程的额外审查,“博客中写道。“我们正在对我们的技术审查流程进行全面审查。为了确保对我们的分析进行适当审查,未来的帖子还将包括清晰透明的证据以及我们的发现。”

为了完整记录,原始文章如下呈现。

一个名为"PoisonSeed"的威胁行为者被认为拥有一种新颖的攻击技术,能够绕过组织中的基于FIDO的保护。

这是根据MDR供应商Expel本周的一份报告,题为"PoisonSeed绕过FIDO密钥以’获取’用户账户”。FIDO,即快速身份在线,指的是一套与技术无关的认证规范。该技术最初由FIDO联盟开发,被认为是安全领域的黄金标准,常见于物理安全密钥等非密码认证技术中。

Expel的研究涉及一种通过FIDO安全密钥中可用的跨设备登录功能获取受害者访问权限的策略,这种方式可以绕过某些安全措施。尽管该报告不涉及FIDO技术本身的漏洞,但它提醒防御者安全并不止于防网络钓鱼的安全密钥。

攻击过程 根据Expel研究人员观察到的实例,攻击始于向客户公司多名员工发送的网络钓鱼电子邮件。该电子邮件试图诱使用户登录一个假的Okta登录页面。如果用户登录,他们会被引导到一个假的AWS链接,就像假的Okta登录页面一样,通过Cloudflare托管。

此外,一旦用户输入登录信息,该用户会看到一个QR码。根据Expel的说法,威胁行为者——一个专注于网络钓鱼和加密货币盗窃的名为PoisonSeed的组织——使用被盗凭据登录合法的登录门户。

在钓鱼网站上输入用户名和密码后,用户会看到一个QR码,“以及使用FIDO密钥的跨设备登录功能的请求。“门户网站输出一个QR码来验证用户身份,这个相同的QR码被传递给最终用户。

“在正常情况下,当用户想要从不同的未注册设备登录其账户时,如果他们已注册了另一个认证设备,他们仍然可以验证身份。在大多数情况下,这将是安装在移动设备上的MFA认证应用程序,其中大多数包括QR码扫描器,“Expel研究人员Ben Nahorney和Brandon Overstreet解释说。“登录门户在收到正确的用户名和密码后显示QR码,用户用其MFA认证器扫描。”

它继续写道,“这个过程——虽然看似复杂——有效地绕过了FIDO密钥授予的任何保护,并让攻击者访问受感染用户的账户,包括访问任何应用程序、敏感文档和此类访问提供的工具。”

因为攻击完全模拟了多因素认证体验,攻击者能够欺骗用户放弃第二层安全。

在这种情况下,除了创建活动会话外,未发现恶意活动,Expel提出了建议以帮助确保攻击者被驱逐出客户环境。然而,Nahorney和Overstreet参考了另一起事件,其中攻击者在网络钓鱼攻击期间成功重置了受害者的密码,然后注册了自己的FIDO密钥。

关于这种攻击技术的普及程度,一位不愿透露姓名的Expel研究人员告诉Dark Reading,PoisonSeed每次只针对少数几家公司进行攻击,“但这种技术可以轻松扩展。”

这对FIDO意味着什么? 正如Nahorney和Overstreet所说,“针对和使用FIDO密钥的攻击增加并没有改变它们仍然是保护账户值得投资的事实。“然而,这提醒我们,FIDO密钥像其他任何东西一样需要定期审计。

Expel表示,审查认证应用程序日志以查找可疑活动是一个好的开始。此外,跨设备登录有一个安全功能,可以要求预先存在的带有MFA认证器的移动设备与用户尝试登录的未注册设备之间进行蓝牙通信。仅此一点几乎完全防止了刚刚描述的攻击。

Dark Reading询问了销售纯FIDO安全密钥的Yubico对该研究的看法。作为回应,公司发言人强调Expel的研究"并未证明通行密钥设计存在缺陷,也不是对FIDO安全密钥的绕过。”

“它概述了一种攻击方法,其中任何选择的本质上可被钓鱼的委托备份认证方法——例如利用QR码的认证器应用程序——都可能被拦截,“发言人说。“Yubico建议仔细考虑任何身份生态系统中的所有认证流程,包括在账户生命周期的所有步骤中使用防钓鱼认证——例如博客中讨论的恢复流程,因为它们是一个常见的攻击向量。”

本文于2025年7月25日下午5:45 ET更新,加入了Expel撤回其PoisonSeed研究结果的消息。

关于作者 亚历山大·库拉菲 Dark Reading高级新闻撰稿人 Alex是一位驻波士顿的作家、记者和播客主持人。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次