FIDO 认证机制遭破解，降级攻击漏洞恐成新威胁

FIDO（Fast Identity Online）标准素以安全性和用户友好性著称，认证被广泛应用于无密码认证领域，机制解降级攻击漏并被视为防范钓鱼攻击的遭破有效手段。然而，洞恐Proofpoint研究团队近期发现了一种可绕过FIDO认证的成新新方法。专家们为此开发了降级攻击技术，威胁并以微软Entra ID为例进行了测试验证。认证

降级攻击技术原理

采用FIDO密钥保护的机制解降级攻击漏账户通常能抵御钓鱼攻击，但Proofpoint指出某些FIDO实施方案存在降级攻击漏洞。遭破攻击者通过诱导用户采用安全性较低的洞恐认证方式实现入侵。

研究人员的WordPress模板成新突破点在于：并非所有网络浏览器都支持FIDO密钥（例如Windows系统下的Safari浏览器）。Proofpoint表示："网络罪犯可改造中间人攻击（AiTM）框架，威胁伪装成FIDO实现方案无法识别的认证用户代理，迫使用户转而采用低安全性的机制解降级攻击漏认证方式。"

为验证攻击可行性，遭破Proofpoint专家在Evilginx中间人攻击框架中开发了"钓鱼套件"——这是一种用于伪造网站界面、窃取登录数据和会话令牌的配置文件。该攻击之所以能够得逞，是源码库因为配置FIDO认证的用户账户通常会将多因素认证（MFA）作为备用登录方案。

攻击实施流程

安全专家还原了完整的攻击链条：

攻击者通过电子邮件、短信或OAuth请求向目标发送钓鱼链接受害者点击恶意链接后，系统会返回认证错误并建议采用替代登录方式当用户通过伪造界面完成登录时，其凭证数据和会话Cookie即遭窃取攻击者可借此劫持会话，完全控制目标账户，进而实施数据窃取或横向渗透新型威胁预警

尽管目前尚未发现该技术被实际用于网络犯罪，Proofpoint仍将此类降级攻击列为重大新兴威胁。专家警告称："随着越来越多机构采用FIDO等防钓鱼认证方案，攻击者极可能将FIDO认证降级技术整合进其攻击链条。"