FIDO 认证机制遭破解，降级攻击漏洞恐成新威胁

发布时间：2025-12-07 14:35:46 作者：玩站小弟

FIDOFast Identity Online）标准素以安全性和用户友好性著称，被广泛应用于无密码认证领域，并被视为防范钓鱼攻击的有效手段。然而，Proofpoint研究团队近期发现了一种可绕过FI 。

FIDO（Fast Identity Online）标准素以安全性和用户友好性著称，认证被广泛应用于无密码认证领域，机制解降级攻击漏并被视为防范钓鱼攻击的遭破有效手段。然而，洞恐Proofpoint研究团队近期发现了一种可绕过FIDO认证的成新新方法。专家们为此开发了降级攻击技术，模板下载威胁并以微软Entra ID为例进行了测试验证。认证

降级攻击技术原理

采用FIDO密钥保护的机制解降级攻击漏账户通常能抵御钓鱼攻击，但Proofpoint指出某些FIDO实施方案存在降级攻击漏洞。遭破攻击者通过诱导用户采用安全性较低的洞恐认证方式实现入侵。

研究人员的免费模板成新突破点在于：并非所有网络浏览器都支持FIDO密钥（例如Windows系统下的Safari浏览器）。Proofpoint表示："网络罪犯可改造中间人攻击（AiTM）框架，威胁伪装成FIDO实现方案无法识别的认证用户代理，迫使用户转而采用低安全性的机制解降级攻击漏认证方式。高防服务器"

为验证攻击可行性，遭破Proofpoint专家在Evilginx中间人攻击框架中开发了"钓鱼套件"——这是一种用于伪造网站界面、窃取登录数据和会话令牌的配置文件。该攻击之所以能够得逞，是亿华云因为配置FIDO认证的用户账户通常会将多因素认证（MFA）作为备用登录方案。

攻击实施流程

安全专家还原了完整的攻击链条：

攻击者通过电子邮件、短信或OAuth请求向目标发送钓鱼链接受害者点击恶意链接后，系统会返回认证错误并建议采用替代登录方式当用户通过伪造界面完成登录时，其凭证数据和会话Cookie即遭窃取攻击者可借此劫持会话，源码下载完全控制目标账户，进而实施数据窃取或横向渗透新型威胁预警

尽管目前尚未发现该技术被实际用于网络犯罪，Proofpoint仍将此类降级攻击列为重大新兴威胁。专家警告称："随着越来越多机构采用FIDO等防钓鱼认证方案，攻击者极可能将FIDO认证降级技术整合进其攻击链条。"

Tag：

请注意，PDF正在传播恶意软件
据Bleeping Computer消息，安全研究人员发现了一种新型的恶意软件传播活动，攻击者通过使用PDF附件夹带恶意的Word文档，从而使用户感染恶意软件。类似的恶意软件传播
2025-12-07
三星S6怎么开启体感拨号？
1)首先先打开手机设定，进去之后向上滑动屏幕，点击【动作与手势】。(如下图) 2)向左或向右滑动屏幕上半部分，可以显示不同的动作与手势说明与操作，您可以根据您的需求将相应的功能打开或关闭
2025-12-07
NVIDIA面向各行各业的生成式 AI 平台，以多样化产品加速企业数字化创新
2023年，ChatGPT火爆全球，生成式AI迅速受到千行百业用户的关注，以此为代表的创新也成为企业纷纷讨论的话题。为了帮助企业加速基于生成式AI的创新应用开发与落地，在今年的Computex上，NV
2025-12-07
微软打造“小芯片云”架构，欲大幅降低LLM实现成本
如果英伟达和AMD正兴奋地搓搓小手，打算趁着微软在生成式AI领域大展拳脚的机会狠狠卖一波计算器材，把握OpenAI GPT大语言模型掀起的这波东风，那恐怕得好好再考虑一下了。虽然微软要搞AI是真的，O
2025-12-07
如何保护数据备份服务器远离勒索软件攻击
一直以来，对重要数据进行备份被认为是有效应对勒索软件攻击的最后一道防线，但大量真实事件表明，在不断变化的勒索攻击面前，数据备份也绝非“万灵丹”！一方面，“双重勒索”、“三重勒索”等新攻击模式不断涌现，
2025-12-07
为什么有了HTTP，还需要WebSocket协议?
Http特点HTTP是基于TCP协议的，同一时间里，客户端和服务器只能有一方主动发数据，是半双工通信。通常，打开某个网页，我们每点击一次网页上的某个选项，前端就会发送一次HTTP请求，网站返回一次HT
2025-12-07