Атака на Microsoft Entra ID снижает безопасность аутентификации
Исследователи Proofpoint обнаружили новый метод атаки на Microsoft Entra ID, позволяющий злоумышленникам обходить FIDO-аутентификацию. Техника основана на подмене идентификатора браузера, что заставляет систему отключать защищенный метод входа и предлагать пользователю менее безопасные альтернативы.
Жертва переходит по фишинговой ссылке, после чего попадает на поддельную страницу входа, использующую фреймворк Evilginx. Сайт эмулирует браузер без поддержки FIDO (например, Safari на Windows), вынуждая Entra ID переключиться на SMS-коды или Microsoft Authenticator. Перехватив данные для входа и токен MFA, злоумышленник получает полный доступ к аккаунту.
Почему это опасно
Хотя массовых атак пока не зафиксировано, метод особенно эффективен против целевых жертв. Главная проблема — системное доверие к FIDO как «неуязвимому» стандарту, тогда как его можно обойти через механизмы отката.
Меры защиты
- Отключите резервные методы аутентификации в настройках Entra ID
- Настройте дополнительные проверки при смене способа входа
- Обучите пользователей распознавать подозрительные запросы на альтернативную верификацию
Атака не эксплуатирует уязвимость в FIDO, но демонстрирует риски гибридных систем аутентификации. Пока все пользователи не перейдут на FIDO-совместимые браузеры (что маловероятно), угроза останется актуальной.
