微软的 Windows Hello for Business (WHfB) 一直被认为是防止网络钓鱼攻击的安全验证手段。然而,最近的发现表明,WHfB 默认的防网络钓鱼身份验证模型存在容易受到降级攻击的漏洞。这使得威胁行为者可以入侵受生物特征保护的 PC 和笔记本电脑。
WHfB 的身份验证机制
WHfB 是 Windows 10 商业版和企业版的一个选项,自 2016 年起推出。它通过使用嵌入在计算机可信平台模块 (TPM) 中的加密密钥,并通过生物特征识别或基于 PIN 的验证启用,以防范网络钓鱼攻击。这种方法被认为比传统的密码或基于短信的一次性密码 (OTP) 更加安全。
当用户首次在其设备上注册 Windows Hello 时,WHfB 的身份验证机制会创建一个存储在计算机 TPM 中的私钥凭据。由于私钥在 TPM 上处于沙盒状态,攻击者无法访问它,因此需要使用与 Windows Hello 兼容的生物识别密钥或 PIN 作为登录质询来进行身份验证。
漏洞发现与降级攻击
埃森哲红队安全研究员 Yehuda Smirnov 于去年年底发现了这一漏洞,并向微软报告了这一情况。该漏洞允许攻击者通过改变身份验证请求中的参数,绕过 WHfB 的安全机制。
具体来说,Smirnov 发现攻击者可以拦截和更改对 Microsoft 身份验证服务的 POST 请求,将 WHfB 默认的防网络钓鱼身份验证降级为安全性较低的密码或 OTP 方法。他能够使用开源的 Evilginx 中间人 (AitM) 反向代理攻击框架,降级 WHfB 的默认身份验证。这种攻击方法使得攻击者能够钓鱼凭据和会话 cookie,从而绕过多因素身份验证。
中间人攻击的实现
通过使用 Evilginx,Smirnov 能够拦截对“/common/GetCredentialType”的 POST 请求,并更改用户代理或参数“isFidoSupported”,将 WHfB 降级为可大规模钓鱼的身份验证形式。这种方法被攻击者广泛使用,以进行钓鱼攻击。
Smirnov 强调,这一漏洞并不意味着 WHfB 本身不安全,而是组织在强制使用防网络钓鱼身份验证方面存在问题。“这里不安全的部分不是协议本身,而是组织如何强制或不强制强身份验证,”他说。“如果你可以将其降级为不防网络钓鱼的身份验证,那么防网络钓鱼身份验证的意义何在?”
微软的补救措施
为了解决这一问题,微软于 3 月悄然发布了修复方案,增加了一项名为“身份验证强度”的条件访问功能。管理员现在可以在 Azure 门户中激活该功能,以强制员工仅使用防网络钓鱼身份验证进行身份验证。
身份验证强度参数允许管理员为特定用户和组寻找身份验证方法,从而要求专门的防网络钓鱼身份验证才能访问敏感信息。这一功能现已在 Microsoft 的 Entra ID 联合应用程序中提供,组织可以根据资源敏感度、用户风险、合规性要求和位置等条件调整身份验证强度。
结论
尽管微软已经发布了修复方案,组织和用户仍需保持警惕,确保采用最新的安全措施以保护其数据和系统。网络钓鱼攻击和其他形式的网络攻击日益猖獗,了解并应用最佳的安全实践至关重要。通过加强对安全协议的理解和实施,组织可以更有效地防范潜在的安全威胁。
微软尚未回应 Dark Reading 就该漏洞及其修复提出更多评论的请求。Smirnov 将于 8 月 8 日在拉斯维加斯举行的 Black Hat USA 2024 会议上演示该攻击以及如何缓解该漏洞,这将进一步揭示这一问题的详细情况。
