微软Entra ID认证漏洞曝光:黑客可绕过FIDO接管账户
8月14日,据科技媒体bleepingcomputer报道,安全研究人员近日发现了一种针对微软Entra ID的新型FIDO降级攻击手法。这种攻击方式能够绕过FIDO认证机制,迫使系统使用安全性较低的验证方式,使受害者面临中间人钓鱼攻击的风险。
(注:FIDO全称为Fast Identity Online,是一套开放认证标准,主要用于实现更安全的无密码登录方案。)
Proofpoint的安全团队披露,这种攻击并非利用FIDO协议本身的漏洞,而是通过篡改浏览器的User Agent信息(用于标识浏览器类型和版本的数据)来欺骗系统。攻击者将设备伪装成不支持FIDO认证的环境,诱使系统关闭FIDO验证功能,转而提供其他安全性较弱的验证选项。
整个攻击过程始于一个精心设计的钓鱼链接。当用户点击后,会被重定向到一个伪造的登录页面(通常使用Evilginx等中间人攻击框架搭建)。这个页面会模拟真实的Entra ID登录界面,但攻击者通过特殊配置的"phishlet"模块,伪造了不支持FIDO认证的浏览器信息。
系统检测到"不支持FIDO"的假信息后,会自动禁用FIDO认证功能,并提示用户改用微软验证器应用、短信验证码或一次性密码等替代验证方式。这些方式的验证数据在传输过程中更容易被攻击者截获。
一旦用户完成替代验证,攻击者就能通过代理服务器获取完整的登录凭证和会话Cookie。这些信息可以被直接导入攻击者的浏览器,实现对受害者账户的完全控制。虽然目前尚未发现实际攻击案例,但这种手法特别适合用于针对特定目标的高级持续性威胁攻击。
免责声明
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
最新文章
赛力斯31亿研发中心主楼封顶,10万平米总部基地落成
9 月 2 日消息,今年 4 月,赛力斯集团正式签约入驻重庆礼嘉智能网联汽车产业园,其全球汽车公园及科创谷项目将在此落地。这是继礼嘉天街、欢乐谷之后,该区域迎来的又一重量级产业项目。查询获悉,赛力
吉田直树谈《最终幻想14》开发:过度批评或打击开发者热情
9 月 2 日消息,SE《最终幻想 14》游戏总监吉田直树上周(8 月 30 日)出席了 2025 年 PAX West 游戏展,与主持人展开对谈。吉田直树坦言,他会尽量客观地看待玩家给出的意见和
比亚迪高管再曝维权进展:本周将继续起诉一批不良自媒体
9 月 2 日消息,比亚迪法务部今日发文称,自媒体“龙猪-集车”及其相关账号因长期发布大量有关比亚迪的不实及侮辱诋毁信息,一审判决认定其构成侵权,判令被告:赔礼道歉、删除侵权言论,并赔偿比亚迪经济
AR眼镜半年销量翻倍!小米等品牌推动行业爆发式增长
智能眼镜已成为继智能手机、智能手表之后,又一有望达到万亿级市场规模的智能终端产品。根据Counterpoint发布的《全球智能眼镜型号出货量追踪》报告,2025年上半年全球智能眼镜市场的出货量同比增
小米汽车新专利:车辆安检自动化系统大幅提升通行效率
9 月 2 日消息,国家知识产权局 显示,小米汽车科技有限公司申请的一项“车辆安检方法、装置、电子设备及存储介质”专利于今天公布,相应专利申请日为 2024 年 9 月 27 日,申请公布号为 C
热门推荐
热门教程
更多- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程
