Neue Angriffstechnik entdeckt

FIDO-Authentifizierung durch Downgrade-Angriff ausgehebelt

Authentifizierung, fido authentifizierung, sicherheitslücke fido, schwachstelle fido, FIDO, Passkey
LinkedInRedditWhatsAppPocket

English Dieser Artikel ist auch auf Englisch verfügbar.

FIDO gilt als besonders sicher gegen Phishing – doch Forscher haben nun eine Lücke entdeckt, die selbst starke Passkey-Authentifizierung aushebeln kann. Über eine gezielte Downgrade-Technik könnten Angreifer Nutzer zu unsicheren Login-Methoden zwingen. Das Risiko wächst mit der Verbreitung von FIDO.

Proofpoint deckt Downgrade-Lücke in FIDO auf

Cybersicherheitsexperten von Proofpoint haben einen Weg gefunden, die FIDO-Authentifizierung zu umgehen. „FIDO“ steht für „Fast Identity Online“ und ist ein Standard, der vor allem mit Passkeys für sichere, benutzerfreundliche Logins sorgen soll. Normalerweise schützt er zuverlässig vor Phishing und Kontoübernahmen. Durch einen Downgrade-Angriff können jedoch bestimmte Implementierungen geschwächt werden – insbesondere bei Windows Hello for Business.

Anzeige

Warum der Angriff funktioniert

Die meisten Phishing-Kits – sogenannte Phishlets – sind auf klassische Anmeldeinformationen ausgelegt und scheitern an FIDO. Bei bestimmten Plattformen wie Microsoft Entra ID kann ein Angreifer jedoch die Anmeldung auf eine weniger sichere Methode umleiten.

Der Trick: Manche Browser wie Safari unter Windows unterstützen FIDO2 nicht. Angreifer können bei einem Adversary-in-the-Middle-Angriff einen solchen Browser simulieren, sodass der Nutzer auf eine alternative Anmeldung ausweichen muss.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

So läuft ein FIDO-Downgrade-Angriff ab

Die Proofpoint-Experten entwickelten ein angepasstes Phishlet für das Evilginx-Angriffsframework. Voraussetzung: Neben FIDO ist im Konto eine weitere Login-Option vorhanden – meist aus Gründen der Kontowiederherstellung. Der Angriff verläuft in vier Schritten:

Anzeige
  1. Kontaktaufnahme: Das Opfer erhält einen präparierten Link per E-Mail, SMS oder OAuth-Anfrage.
  2. Herabstufung: Eine Fehlermeldung fordert zur Auswahl einer alternativen Authentifizierung auf.
  3. Datenklau: Über die gefälschte Seite werden Anmeldedaten und MFA-Token abgefangen.
  4. Kontoübernahme: Mit dem gestohlenen Sitzungscookie erhält der Angreifer vollen Zugriff, ohne weitere Abfragen.

Noch kein Missbrauch – aber potenziell gefährlich

Laut Proofpoint gibt es bislang keine Hinweise, dass diese Methode aktiv von Cyberkriminellen genutzt wird. Dennoch gilt sie als aufkommende Gefahr, vor allem für Unternehmen, die auf „phishing-resistente“ Methoden setzen.

Mit der wachsenden Nutzung von Passkeys und FIDO könnte diese Technik bald Teil komplexer Angriffsketten werden – und den Sicherheitsvorsprung schmälern, den FIDO bislang bietet.

Die vollständige Analyse der Proofpoint-Experten finden Sie im aktuellen Blog des Cybersecurity-Unternehmens im englischen Original.

(vp/Proofpoint)


Anzeige

Weitere Artikel

Ransomware-Angriffe: Erpressung entwickelt sich weiter
Deepfakes in Echtzeit erkennen
PDFs als perfekte Köder für Phishing-Mails
„Man in the Prompt“ – Wenn Hacker KI-Tools heimlich manipulieren
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.