Home » News » Endpoint Security » FIDO-Authentifizierung geknackt: Downgrade-Risiko

FIDO am Limit: Neue Gefahr im Auth-Dschungel: FIDO-Authentifizierung geknackt: Downgrade-Risiko

FIDO gilt als eine der sichersten Authentifizierungsmethoden gegen Phishing und Kontoübernahmen. Doch Experten von Proofpoint haben nun eine Schwachstelle identifiziert: Durch gezielte Downgrade-Angriffe können Angreifer FIDO umgehen und auf weniger sichere Login-Methoden ausweichen – mit gravierenden Folgen für Unternehmenssicherheit.

2 Min. Lesezeit
FIDO Konzept, Fingerabdruck
Foto: ©AdobeStock/HM

Der offene Standard FIDO („Fast Identity Online“) wurde entwickelt, um sichere und benutzerfreundliche Authentifizierung im Internet zu ermöglichen.

FIDO – eigentlich ein Bollwerk gegen Phishing

FIDO-basierte Passkeys gelten als hochwirksam, da sie Phishing-Angriffe und Kontoübernahmen zuverlässig verhindern. In den meisten Fällen scheitern Phishing-Versuche an FIDO-geschützten Konten – insbesondere wenn Angreifer Standard-Phishlets einsetzen, die nicht für FIDO konzipiert sind.

Ein Phishlet ist eine Konfigurationsdatei, die von Phishing-Kits genutzt wird, um legitime Websites zu imitieren und Anmeldedaten oder Sitzungstokens abzufangen. FIDO-gesicherte Logins blockieren diese Versuche normalerweise vollständig.

Die neue Gefahr: Downgrade-Angriffe auf FIDO

Proofpoint hat jedoch Schwachstellen in bestimmten FIDO-Implementierungen entdeckt – darunter Windows Hello for Business (WHfB) – die Angreifern Downgrade-Angriffe ermöglichen. Dabei wird der Nutzer gezwungen, auf eine weniger sichere Authentifizierungsmethode (oft Mehrfaktor-Authentifizierung) zurückzugreifen.

Im Testumfeld führten die Forscher den Angriff anhand von Microsoft Entra ID vor. Das Verfahren ist jedoch nicht auf diese Plattform beschränkt.

Benutzeragent-Spoofing als Einfallstor

Nicht jeder Browser unterstützt FIDO2-Passkeys in allen Szenarien. Beispielsweise funktioniert FIDO bei Nutzung von Safari unter Windows nicht mit Microsoft Entra ID. Ein Angreifer kann diese Lücke mit Benutzeragent-Spoofing ausnutzen:

  • Er tarnt den Browser des Opfers durch einen angepassten Adversary-in-the-Middle- (AiTM-) Angriff als nicht FIDO-kompatibel.
  • Das System bietet dann automatisch eine alternative, weniger sichere Login-Methode an.
  • Diese fehlende Sicherheitskontrolle öffnet die Tür für Phishing-Kampagnen mit Downgrade-Komponente.

Ablauf eines FIDO-Downgrade-Phishing-Angriffs

Proofpoint beschreibt den Ablauf mit einem für Evilginx angepassten Phishlet wie folgt:

  1. Initialer Köder – Versand eines Phishing-Links per E-Mail, SMS oder OAuth-Anfrage.
  2. Herabstufung – Nach dem Klick erhält das Opfer eine Fehlermeldung und wird aufgefordert, eine alternative Anmeldemethode zu wählen.
  3. Abgriff von Login-Daten – Das Opfer gibt Anmeldedaten und MFA-Token auf einer gefälschten Seite ein.
  4. Sitzungsübernahme – Der Angreifer importiert das gestohlene Sitzungscookie in seinen Browser und übernimmt den Account, ohne MFA erneut durchlaufen zu müssen.

Potenzial für hochentwickelte Angriffe

Bislang gibt es laut Proofpoint keine Hinweise, dass Cyberkriminelle den Downgrade-Angriff bereits aktiv einsetzen. Dennoch gilt die Technik als aufkommende Bedrohung, die besonders für Advanced Persistent Threats (APT) und staatlich unterstützte Akteure interessant ist.

Mit der wachsenden Verbreitung von „phishing-resistenten“ Authentifizierungen wie FIDO dürften Angreifer ihre Taktiken weiterentwickeln und diese Schwachstellen gezielt in ihre Kill Chains einbauen.

Fazit

Der FIDO-Downgrade-Angriff ist ein Beispiel dafür, dass selbst hochsichere Authentifizierungsmethoden nicht unangreifbar sind. Unternehmen sollten prüfen, ob alternative Authentifizierungsmethoden in ihren FIDO-Implementierungen zwingend notwendig sind, und Sicherheitskontrollen so konfigurieren, dass ein Downgrade gar nicht erst möglich ist.

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Pentesting

Wann Eigenentwicklung zur Kostenfalle wird

Unternehmen wollen Penetrationstests mit KI automatisieren und erwägen eigene Werkzeuge. Doch zwischen einer schnellen Demo und einem belastbaren Produktivsystem liegen hohe techni...

Futuristisches KRITIS-Netzwerk

Cloud-Abhängigkeit wird für KRITIS zum Resilienzrisiko

85 Prozent der deutschen Unternehmen halten die Abhängigkeit von US-Cloud-Anbietern für zu groß. Für Betreiber kritischer Infrastrukturen wird daraus mehr als eine strategische Sor...

Roboter und Mensch zeigen auf das Wort Productivity

„Workslop“ statt Produktivität: KI macht Arbeit – wenn Kompetenz fehlt

KI soll Unternehmen effizienter machen. Doch wer nur Tools einkauft, gewinnt noch keine Produktivität. Ohne Fachwissen, Datenkompetenz und klare Standards entsteht schnell das Gege...