كشفت شركة Proofpoint عن هجوم جديد يستهدف آلية FIDO Authentication في خدمة Microsoft Entra ID، حيث يمكن للمهاجمين خداع المستخدمين للاعتماد على طرق تحقق أضعف، ما يجعلهم عرضة للتصيّد وسرقة الجلسات. يعتمد الهجوم على إطار Adversary-in-the-Middle (AiTM) باستخدام أدوات مثل Evilginx لاعتراض ملفات تعريف الارتباط (Cookies) الصالحة واستخدامها لاختراق الحسابات.
استغلال فجوة في دعم المتصفحات
الطريقة تقوم على استخدام phishlet مخصص ضمن Evilginx لتزييف وكيل مستخدم (User Agent) يُظهر المتصفح وكأنه لا يدعم بروتوكول FIDO. وتحديداً، يتم انتحال Safari على Windows، وهو متصفح غير متوافق مع مصادقة FIDO في Entra ID. هذا التزييف يُجبر النظام على التراجع (downgrade) إلى طريقة تحقق أقل أماناً مثل كلمات المرور لمرة واحدة (OTPs)، ما يتيح للوكيل الخبيث اعتراض بيانات الاعتماد والرموز المميزة (tokens).
ثغرة في آليات الحماية وغياب تدابير استباقية
أوضحت Proofpoint أن هذه الفجوة البسيطة في التوافق تُعد نقصاً في التدابير الأمنية على منصات مايكروسوفت. فبمجرد أن يتمكن المهاجم من التلاعب بوكيل المستخدم، يمكنه إجبار النظام على اعتماد أسلوب تحقق أكثر هشاشة، مما يفتح الباب أمام اختراق الحسابات المؤسسية.
التوصيات الدفاعية للمؤسسات
يوصي الخبراء بضرورة الاعتماد على طرق تحقق مقاومة للتصيّد (Phishing-resistant authentication)، إلى جانب تفعيل سياسات الوصول الشرطي (Conditional Access) لضمان عدم السماح بالتحقق عبر أساليب ضعيفة حتى عند وجود فجوات في التوافق مع بعض المتصفحات.
