Недавно Йехуда Смирнов, исследователь безопасности и участник red team, обнаружил новый способ фишинга через аутентификацию Windows Hello for Business (WHfB).
Windows Hello for Business — это механизм аутентификации, который использует криптографическую пару ключей, хранящихся на устройстве. Он предназначен для защиты пользователей от атак типа «человек посередине» (MITM), которые часто применяются для кражи учетных данных и сессий.
Уязвимость позволяет злоумышленникам обойти защиту, предоставляемую WHfB, и использовать менее надежные методы проверки пользователя.
Уязвимость и атака
Смирнов объяснил, что уязвимость связана с перехватом и изменением запросов аутентификации. Злоумышленник может изменить параметры POST-запроса, такие как User-Agent или isFidoSupported, чтобы снизить уровень безопасности аутентификации до фишируемого метода.
При попытке пользователя войти на login.microsoftonline.com с использованием WHfB, система автоматически предлагает этот метод аутентификации.
Однако, изменив POST-запросы, мошенник может заставить систему использовать менее защищенный метод, например, обычный логин и пароль.
Доказательство концепции (PoC)
Смирнов показал видео, где демонстрируется, как это работает.
Он использовал измененный EvilGinx-код для автоматизации атаки и создания «фишлета», который перехватывает и изменяет запросы.
Это позволило ему принудительно понизить метод аутентификации:
Рекомендации по защите
Для защиты от этой уязвимости, Microsoft порекомендовала создать политики условного доступа, использующие новый контроль «Authentication strength».
Так администраторы смогут задать комбинации методов аутентификации, которые можно использовать для доступа к ресурсам и потребовать более защищенные методы для чувствительных ресурсов.
Отчет и исправления
10 сентября 2023 года уязвимость была сообщена Microsoft, а уже 6 ноября 2023 года компания выпустила исправление.
Подробности исследования будут представлены на конференции Black Hat USA 2024 в Лас-Вегасе 8 августа.