أخرى
#PoisonSeed
#FIDO
هجوم PoisonSeed: هل هو تهديد حقيقي لمفاتيح FIDO؟
تحديث: في الأسبوع الماضي، قدم الباحثون في شركة Expel تفاصيل حول نوع من هجمات التصيد يُعرف باسم "PoisonSeed"، والذي زعموا أنه يمكن أن يستخدم المصادقة عبر الأجهزة لتجاوز تسجيل الدخول المحمي بمفتاح FIDO. لكن هذا الأسبوع، وفي حدث غير معتاد، سحبت الشركة أبحاثها، التي كانت قد أبلغت عنها Dark Reading في البداية.
نشر فريق استخبارات التهديدات في شركة الأمن اليوم مدونة بعنوان "تحديث مهم (واعتذار) بشأن مدونة PoisonSeed الخاصة بنا." تسحب المدونة أبحاثها السابقة، حيث صرحت الشركة أنه "بعد مراجعة إضافية، وجدنا أن نتائجنا الأصلية غير مدعومة بالأدلة."
في النتائج المحدثة، أشارت Expel إلى أنه إذا تلقى المستخدم رمز QR ضار من مهاجم وقام بمسحه باستخدام جهاز محمول، فإن ذلك "يبدأ تدفق المصادقة عبر الأجهزة FIDO، والذي يتطلب، وفقًا لمواصفات FIDO، القرب المحلي من الجهاز الذي أنشأ رمز QR (عميل WebAuthn)." قالت Expel: "عند تنفيذها بشكل صحيح، وبدون قرب، ستنتهي الطلبات بفشل." وبالتالي، تجعل أي هجوم محتمل غير ذي جدوى.
شكر الشركة أعضاء المجتمع، وخاصة تحالف FIDO، لمساعدتهم في "توضيح سوء الفهم." اعتذرت Expel عن الخطأ وأكدت أنها ستعمل على ضمان دقة أفضل في المستقبل.
"نحن ندرك أن محاولة هجوم بهذا الحجم تستحق تدقيقًا إضافيًا يتجاوز عملية مراجعتنا الفنية المعتادة،" وفقًا للمدونة. "نحن نجري مراجعة شاملة لعمليات المراجعة الفنية لدينا. لتمكين التدقيق المناسب لتحليلنا، ستتضمن المشاركات المستقبلية أيضًا أدلة واضحة وشفافة بجانب نتائجنا."
لإكمال السجل، يتم تقديم المقالة الأصلية أدناه.
----------------------------------------------------------------
كان هناك فاعل تهديد يُعرف باسم "PoisonSeed" مُنح الفضل في تقنية هجوم جديدة قادرة على تجاوز الحمايات المعتمدة على FIDO في منظمة ما.
هذا وفقًا لتقرير هذا الأسبوع من شركة MDR Expel، بعنوان "PoisonSeed يتجاوز مفاتيح FIDO ل'جلب' حسابات المستخدمين." تشير FIDO، أو الهوية السريعة عبر الإنترنت، إلى مجموعة من المواصفات المستقلة عن التكنولوجيا للمصادقة. تُعتبر هذه التكنولوجيا، التي تم تطويرها في الأصل بواسطة تحالف FIDO، معيارًا ذهبيًا في الأمان، وغالبًا ما تُرى في تقنيات المصادقة غير المعتمدة على كلمة المرور مثل المفاتيح الأمنية الفيزيائية.
تتعلق أبحاث Expel باستراتيجية للوصول إلى ضحية من خلال ميزات تسجيل الدخول عبر الأجهزة المتاحة في مفاتيح الأمان FIDO بطريقة يمكن أن تتجاوز بعض الحمايات. على الرغم من أن التقرير لا يتعلق بوجود ثغرة في تكنولوجيا FIDO نفسها، إلا أنه يُذكر المدافعين بأن الأمان لا ينتهي بمفتاح أمان مقاوم للتصيد.
الهجوم
وفقًا للحالة التي لاحظها باحثو Expel، بدأ الهجوم برسالة بريد إلكتروني تصيدية أُرسلت إلى عدة موظفين في شركة عميل. حاولت الرسالة جذب المستخدمين لتسجيل الدخول إلى صفحة تسجيل دخول مزيفة لـ Okta. إذا قام المستخدم بتسجيل الدخول، يتم توجيهه إلى رابط مزيف لـ AWS، والذي، مثل صفحة تسجيل دخول Okta المزيفة، يتم استضافته عبر Cloudflare.
بالإضافة إلى ذلك، بمجرد أن يدخل المستخدم معلومات تسجيل الدخول الخاصة به، يتم تقديم رمز QR له. وفقًا لـ Expel، استخدم الفاعل - وهو مجموعة مكرسة للتصيد وسرقة العملات المشفرة تُدعى PoisonSeed - بيانات الاعتماد المسروقة لتسجيل الدخول إلى بوابة تسجيل الدخول الشرعية.
بعد إدخال اسم المستخدم وكلمة المرور الخاصة بهم على موقع التصيد، تم تقديم رمز QR للمستخدم، "مع طلب لاستخدام ميزة تسجيل الدخول عبر الأجهزة لمفاتيح FIDO." أصدرت البوابة رمز QR للمصادقة على المستخدم، وتم تمرير نفس رمز QR إلى المستخدم النهائي.
"في الظروف العادية، عندما يرغب المستخدم في تسجيل الدخول إلى حسابه من جهاز غير مسجل، يمكنه التحقق من هويته إذا كان قد سجل جهاز مصادقة آخر. في معظم الحالات، سيكون هذا تطبيق مصادقة متعددة العوامل مثبتًا على جهاز محمول، حيث تتضمن معظمها ماسح رمز QR،" أوضح باحثو Expel بن ناهورني وبراندون أوفرستريت. "تظهر بوابة تسجيل الدخول رمز QR بعد تلقي اسم المستخدم وكلمة المرور الصحيحة، والذي يقوم المستخدم بمسحه باستخدام مصادقته متعددة العوامل."
تستمر العملية، "هذه العملية - رغم أنها تبدو معقدة - تتجاوز فعليًا أي حماية تمنحها مفتاح FIDO، وتمنح المهاجمين الوصول إلى حساب المستخدم المخترق، بما في ذلك الوصول إلى أي تطبيقات، مستندات حساسة، والأدوات التي يوفرها هذا الوصول."
نظرًا لأن الهجوم يحاكي تجربة المصادقة متعددة العوامل بالكامل، فإن المهاجم قادر على خداع المستخدم للتخلي عن تلك الطبقة الثانية من الأمان.
في هذه الحالة، لم يتم اكتشاف أي نشاط ضار بخلاف إنشاء جلسة نشطة، وقدمت Expel اقتراحات للمساعدة في ضمان طرد المهاجم من بيئة العميل. ومع ذلك، أشار ناهورني وأوفرستريت إلى حادثة أخرى تمكن فيها المهاجم من إعادة تعيين كلمة مرور الضحية بنجاح خلال هجوم تصيد قبل تسجيل مفتاح FIDO الخاص به.
فيما يتعلق بمدى انتشار تقنية الهجوم، أخبر باحث من Expel يرغب في عدم ذكر اسمه Dark Reading أن PoisonSeed يركز هجماته على عدد قليل من الشركات في وقت واحد، "لكن هذه التقنية يمكن أن تتوسع بسهولة."
ماذا تقول هذه المعلومات عن FIDO؟
كما قال ناهورني وأوفرستريت، "لم يغير ارتفاع الهجمات ضد واستخدام مفاتيح FIDO من حقيقة أنها لا تزال استثمارًا جديرًا عند تأمين الحسابات." ومع ذلك، فهي تذكير بأن مفاتيح FIDO، مثل أي شيء آخر، تتطلب تدقيقًا منتظمًا.
قالت Expel إن مراجعة سجلات تطبيق المصادقة بحثًا عن نشاط مشبوه هو بداية جيدة. بالإضافة إلى ذلك، تحتوي ميزة تسجيل الدخول عبر الأجهزة على ميزة أمان يمكن أن تتطلب اتصال Bluetooth بين الجهاز المحمول الموجود مع مصادقة متعددة العوامل والجهاز غير المسجل الذي يحاول المستخدم تسجيل الدخول إليه. هذا وحده يمنع تقريبًا الهجوم الموصوف للتو.
سألت Dark Reading شركة Yubico، التي تبيع مفاتيح الأمان المعتمدة على FIDO، عما إذا كانت لديها أي أفكار حول البحث. وفي ردها، أكدت متحدثة باسم الشركة أن أبحاث Expel "لا تُظهر عيبًا في تصميم المفاتيح ولا تُعتبر تجاوزًا لمفاتيح الأمان FIDO."
"إنها توضح طريقة هجوم حيث يمكن اعتراض أي طريقة مصادقة احتياطية مفوضة مختارة، والتي تكون بطبيعتها عرضة للتصيد - مثل تطبيق مصادقة يعتمد على رموز QR،" تقول المتحدثة. "توصي Yubico بأخذ الاعتبار الدقيق لجميع تدفقات المصادقة في أي نظام بيئي للهوية، بما في ذلك استخدام المصادقة المقاومة للتصيد في جميع خطوات دورة حياة الحساب - مثل تدفقات الاسترداد التي تم مناقشتها في المدونة، نظرًا لأنها تمثل نقطة هجوم شائعة."
تم تحديث هذه المقالة في 25 يوليو 2025 في الساعة 5:45 مساءً بتوقيت شرق الولايات المتحدة، مع أخبار تراجع شركة Expel عن نتائجها المتعلقة بـ PoisonSeed.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!