新型 FIDO 降级攻击曝光，可绕过微软认证机制

　　8 月 14 日消息，科技媒体 bleepingcomputer 于 8 月 13 日发布博文称，安全研究人员发现一种新型 FIDO 降级攻击，该攻击能够绕过微软 Entra ID 中的 FIDO 认证机制，诱使用户采用较弱的验证方式登录，进而使用户面临中间人钓鱼攻击的风险。

　　FIDO 是 Fast Identity Online 的缩写，是一套开放标准，旨在实现无密码认证，以提升账户安全性。来自 Proofpoint 的安全专家近日披露了这种新型攻击方式，其并非利用 FIDO 协议本身的漏洞，而是通过操纵浏览器的 User Agent 信息(浏览器向服务器标识自身信息的字符串，用于判断设备与浏览器兼容性)来实施攻击。攻击者会将 User Agent 伪装成不支持 FIDO 的环境，使得系统自动关闭 FIDO 认证，并提示用户选择其他验证方法。

　　攻击流程通常始于钓鱼链接。当用户点击该链接后，会被跳转到由 Evilginx 等中间人攻击框架搭建的伪造登录页面。此页面虽代理了真实的 Entra ID 登录表单，但攻击者配置的 “phishlet” 模块伪造了不支持 FIDO 的 User Agent。系统检测到这一伪造信息后，会禁用 FIDO 功能，并返回错误提示，引导用户选择微软验证器应用、短信验证码或一次性密码等替代验证方式。而这些替代方法的验证数据在传输过程中可被攻击者截取。

　　一旦用户完成替代验证，攻击者即可通过代理服务器获取完整的登录凭证及会话 Cookie，并将其导入本地浏览器，从而完全接管用户账户。尽管目前尚未出现实际利用该攻击方式的案例，但相关专家指出，这种攻击适用于高度针对性的高级持续性威胁场景，企业和用户需保持警惕，加强安全防范措施，如定期更新系统和安全软件、提高用户安全意识等，以应对潜在的安全风险。