Yeni FIDO Downgrade Saldırısı ve Tehlikeleri
Güvenlik araştırmacıları, Microsoft Entra ID üzerinde kullanıcıları daha zayıf giriş yöntemleriyle kimlik doğrulama yapmaya kandıran yeni bir FIDO downgrade saldırısı geliştirdi. Bu durum, kullanıcıların phishing yani oltalama ve oturum kaçırma (session hijacking) saldırılarına maruz kalmasına sebep olabiliyor. FIDO, güçlü güvenlik standardı olarak lanse edilmesine rağmen, bu yeni saldırı tekniği, sistemin aşılabileceğini gösteriyor ve bu durum oldukça endişe verici.
FIDO, özellikle kritik ortamlar için önerilen şifresüz kimlik doğrulama yöntemi olan passkeys ile popülaritesini artırmış durumda. FIDO2 ve WebAuthn standartlarına dayalı olan bu yöntem, geleneksel çok faktörlü kimlik doğrulama (MFA) ve şifrelerin zaaflarını ortadan kaldırmak amacıyla tasarlanmıştır. Kullanıcı bir passkey kaydettiğinde, cihazı bir özel anahtar ve bir açık anahtar çifti üretir. Bu anahtarlar, çevrimiçi hizmetlere giriş yapılırken kullanılır ve kimlik doğrulama sürecinde, kullanıcının kimliğini doğrulamak için rastgele bir challenges (meydan okuma) çözülür.
FIDO’yu Aşma ve Zayıflatma Yöntemleri
Proofpoint araştırmacılarının geliştirdiği yeni downgrade saldırısı, Evilginx adversary-in-the-middle (AiTM) çerçevesi içinde yer alan özel bir oltalama (phishlet) kullanarak FIDO desteği olmayan bir tarayıcı kullanıcı ajanını taklit etmektedir. Özellikle, Windows üzerinde Safari tarayıcısını taklit eden araştırmacılar, bu tür bir işlemle saldırganların kullanıcının FIDO tabanlı kimlik doğrulamasını devre dışı bırakmalarına olanak tanıdığını belirtmektedir.
Proofpoint araştırmacılarından Yaniv Miron’un açıklamaları, “Saldırganlar, FIDO uygulaması tarafından tanınmayan bir desteklenmeyen kullanıcı ajanını taklit edebilir ve böylece kullanıcıyı daha az güvenli bir yöntemle kimlik doğrulamaya zorlayabilir” şeklindedir. Bu durum, Microsoft platformları üzerinde gözlemlenen bir güvenlik açığı olarak değerlendirilmektedir.
Hedef kullanıcı, e-posta, SMS veya OAuth onay isteği aracılığıyla bir oltalama bağlantısına tıkladığında, kullanıcıyı özel bir oltalama sitesine yönlendiren bir süreç başlar. Bu, AiTM saldırısı olduğu için, meşru Microsoft Entra ID formu oltalama platformu tarafından proxy (aracı) olarak gösterilir. Kullanıcı tarayıcı ajanını taklit eden oltalama yöntemiyle FIDO kimlik doğrulamasını devre dışı bırakır ve hata mesajı gönderilir.
Bu hata, kullanıcıyı alternatif doğrulama yöntemlerinden birini seçmeye zorlar; örneğin, Microsoft Authenticator uygulaması, SMS kodu veya OTP (tek seferlik şifre). Kullanıcı alternatif yöntemlerden birini kullandığında, AiTM proxy’si hem hesap kimlik bilgilerini hem de MFA kodunu ya da oturum çerezini (session cookie) ele geçirmektedir. Bu durum, kullanıcıların teorik olarak phishing’e karşı dirençli olduğu hesaplarına tam erişim sağlamaktadır.
Riskler ve Önlemler
Proofpoint, bu tekniğin hackerlar tarafından henüz kullanılmadığını belirtmesine rağmen, potansiyel risklerin yüksek olduğunu vurgulamaktadır. Saldırganlar, genellikle MFA koruması olmayan daha kolay hedefler üzerine odaklanmaktadır. Ancak, daha az saldırıya uğrayan, hedeflenmiş saldırılar açısından tehdit oldukça büyüktür. Bu nedenle, bu yeni tehditle başa çıkmak için kullanıcıların dikkat etmesi gereken birkaç önemli husus mevcuttur.
Kullanıcıların hesapları için yedek kimlik doğrulama yöntemlerini devre dışı bırakmaları veya bu tür işlemler tetiklendiğinde ek kontroller ve onaylar etkinleştirmeleri önerilmektedir. Eğer bir giriş işlemi, kaydedilmiş bir passkey yerine aniden farklı bir yöntem talep ediyorsa, bu dikkat çeken bir uyarıdır. Kullanıcılar bu durumda işlemi durdurmalı ve resmi, güvenilir kanallardan doğrulama yapmalıdır.
Temmuz ayında, Expel araştırmacıları PoisonSeed adı verilen başka bir FIDO downgrade saldırısı sunmuştur. Bu saldırıda, bir oltalama sitesi hedef kullanıcının kimlik bilgilerini çalarak, geçerli bir oturum talebinin onaylanmasını sağlamak amacıyla QR kodu üretmiştir. Ancak, bu yöntemin fiziksel yakınlık gereksinimleri nedeniyle pratikte uygulanmasının imkansız olduğu ortaya çıkmıştır.
Sonuç olarak, FIDO sisteminin bu yeni zayıflığı, kullanıcıları daha fazla hedef haline getirebilir. Kullanıcıların farkındalığını artırmak ve güvenlik önlemlerini güçlendirmek, siber tehditlerle mücadelede kritik bir rol oynayacaktır. Önerilen yöntemlerin uygulanması, potansiyel riskleri azaltmada yardımcı olacaktır.
