现代身份验证FIDO2可绕过!基于知识的用户身份验证仍然是数字系统安全的弱点

admin
admin
admin
109497
文章
90
评论
2024年5月12日12:54:20评论10 views字数 3128阅读10分25秒阅读模式
FIDO2是无口令身份验证的现代身份验证组术语。快速身份在线(FIDO)联盟开发它来取代传统已知口令的使用,并提供一种使用物理或嵌入式密钥进行身份验证的安全方法。众所周知,FIDO2可以保护人们免受中间人(MITM)、网络钓鱼和会话劫持攻击。尽管这种无口令身份验证标准提高了身份安全性,但在本周RSA会议之前与CyberScoop独家分享的研究中,Silverfort公司的研究人员Dor Segal和Yiftach Keshet提出了一种绕过这种身份验证形式的方法,表明该技术容易受到令牌劫持和中间人攻击。口令和其他基于知识的用户身份验证形式仍然是数字系统安全的弱点。 用户需要清醒的认识到,FIDO2强大的安全功能并不能保护整个用户会话。更重要的是要明白,现代身份验证方法并不具备一种神奇的安全魅力,仅仅采购和实施是远远不够的。 
现代身份验证FIDO2可绕过!基于知识的用户身份验证仍然是数字系统安全的弱点
FIDO2引入的背景 
根据Verizon最近发布的数据泄露调查报告,在过去十年中,Verizon追踪到的所有泄露事件中,近三分之一的泄露事件都是由凭据被盗造成的。它们也是大多数攻击者在获得初始访问权限后可能首先寻找的东西,这凸显了口令和其他凭据已成为现代网络攻击的核心角色。
这一发展导致了FIDO2等更现代的身份验证方法和标准的普及,FIDO2通过由智能手机或台式机等硬件设备生成并与硬件设备绑定的独特加密凭证来验证用户。这种形式的身份验证不依赖口令,而是将硬件设备上的安全密钥或生物识别ID与多因素身份验证配对,以通过单点登录(SSO)解决方案访问应用程序。
但在某些情况下,顽固的攻击者甚至可以绕过这些保护措施。在本周RSA会议之前与CyberScoop独家分享的研究中,Silverfort公司的Dor Segal和Yiftach Keshet提出了一种绕过这种身份验证形式的方法,通过能够劫持和复制用户会话的中间人(MITM)攻击在许多使用SSO解决方案的应用程序中,包括Microsoft Entra ID和PingFederate。
FIDO2等标准的开发是为了保护用户和企业免受网络钓鱼和MITM攻击,很大程度上是通过放弃可能通过黑客或社会工程窃取的身份验证因素(例如口令) ,并用硬件、安全密钥或生物识别信号取代它们更难获得。
FIDO2技术实现仍能被绕过
FIDO2身份验证流程由用于客户端依赖方(RP)(即云应用程序通信)的WebAuthn API规范和用于硬件通信的客户端到身份验证器(CTAP)协议组成。整个过程由浏览器管理,包括两个身份验证步骤:设备注册和身份验证。
但此方法依赖于第三方解决方案(例如SSO),该解决方案必须创建身份验证会话以充当用户和他们正在访问的应用程序之间的网关。虽然像传输层安全这样的互联网协议会在该过程的前端对流量进行加密,但这些保护不会扩展到它们用于身份验证的令牌和流量会话,这些令牌和流量会话可能会持续数小时。
令牌的功能就像数字钥匙一样,一旦打开,数字门就会保持半开状态,即使使用FIDO2这样的技术,位于受害者和应用程序之间的攻击者也可以拦截并重新使用这些会话令牌来访问用户的帐户,Dor Segal说。
现代身份验证FIDO2可绕过!基于知识的用户身份验证仍然是数字系统安全的弱点
“一旦身份验证成功结束,就会出现一个完整的身份验证会话,其中敏感数据会来回发送,”Dor Segal说。“而且这个会话令牌本身可以一次又一次地复制,没有地理保护或令牌[数量]限制。”
Keshet表示,这种攻击是可能的,因为像FIDO2这样的标准的最常见实现往往会在身份验证阶段提供强大的保护,但一旦用户通过身份验证,他们可以通过有效会话访问的内容几乎没有限制。
这种形式的身份验证“使得进门变得非常困难,但一旦你进了门,那就没问题了,”Keshet说。“你拥有防火墙的令牌来对其进行身份验证,然后攻击者可以劫持会话并复制它并做任何他们想做的事。”
这不是漏洞?
这种攻击只能由专门的攻击者在相对苛刻的情况下完成。Segal表示,用户需要安装恶意浏览器扩展程序或在运输途中使用公共Wi-Fi,这样他们的流量可能会通过MITM攻击被拦截和解密。这意味着这样的攻击只能在有限的条件下起作用。
虽然这种方法允许攻击者绕过FIDO2等无口令标准提供的保护,但Segal表示,防止滥用他们创建的会话令牌最终是应用程序开发人员的责任。虽然Silverfort的研究确实指出了FIDO2等标准所依赖的整个流程中的一些漏洞,但研究人员强调,此类方法仍然远远优于口令和基于知识的身份保护形式。 
研究团队最早于2023年中期进行了这项研究,并将研究结果提交给了Microsoft。针对最初的披露,微软声称这不是一个漏洞。即便如此,它仍然是一个可能对暴露的组织造成损害的攻击面。四个月后,微软推出了令牌保护的条件访问预览版,这是专门针对可信平台模块(TPM)的令牌绑定的变体。微软在其文档中解释说,令牌被盗的情况很少见,但其造成的损害可能是巨大的。
FIDO联盟政策顾问杰里米·格兰特(Jeremy Grant)在奥巴马政府期间担任白宫网络空间可信身份国家战略项目负责人,他告诉CyberScoop,研究中概述的绕过方法在技术上是正确的,但并未反映出缺陷或漏洞,即FIDO身份验证标准中的漏洞。
相反,它强调了行业无法创建一种通用方法来保护身份验证令牌不被窃取或滥用。
进一步的解决方案是“令牌绑定”
Silverfort的研究描述的攻击类型可以通过一种称为“令牌绑定”的技术来缓解,但维护需要使用此工具保护的无处不在的应用程序的公司却未能接受它。  
令牌绑定的工作原理是添加额外的安全层,将经过身份验证的会话令牌显式绑定到用于加密前端流量的底层TLS握手。实际上,这意味着只有实际用户才能使用该令牌来访问应用程序,并且可以防止攻击者无限期地复制该会话以维持其访问权限。
“这实际上将验证令牌只能在这个单一的、经过身份验证的会话的上下文中使用,并且不能在其他任何地方使用,”Keshet说。
谷歌、微软、Yubico等主要科技公司已在其部分产品中采用了令牌绑定,但整体采用率仍然较低。唯一支持令牌绑定的主要浏览器是Microsoft Edge。
2018年,Chromium(由Google维护的开源网络浏览器项目,为Google Chrome和其他浏览器开发了大部分底层代码库)停止了对令牌绑定的支持,开发人员称其好处有限且采用率低。
Chromium开发人员Nick Harper当时写道:“在权衡了令牌绑定的安全优势与工程成本、维护成本、Web 兼容性风险和采用之后,发布此功能没有意义。”.01%观察到的HTTPS请求已打开令牌绑定。
上个月,谷歌宣布将实施所谓的“设备绑定会话凭证”的Beta版本,该版本通过将身份验证会话绑定到特定设备以类似的方式运行,以防止Chrome中的会话和cookie被盗。a
迄今为止,Microsoft EDGE是唯一提供令牌绑定的浏览器。Chrome提供了令牌绑定,但由于采用率较低而将其删除。
参考资源:
1.https://cyberscoop.com/stealing-cookies-researchers-describe-how-to-bypass-modern-authentication/
2.https://www.silverfort.com/blog/using-mitm-to-bypass-fido2/
3.https://www.ietf.org/proceedings/91/slides/slides-91-uta-2.pdf

原文来源:网空闲话plus

原文始发于微信公众号(CNCERT国家工程研究中心):现代身份验证FIDO2可绕过!基于知识的用户身份验证仍然是数字系统安全的弱点

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月12日12:54:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   现代身份验证FIDO2可绕过!基于知识的用户身份验证仍然是数字系统安全的弱点https://cn-sec.com/archives/2715963.html

发表评论

匿名网友 填写信息