安全研究人员发现一种新型FIDO降级攻击，能够绕过微软Entra ID中的FIDO认证机制。该攻击利用操纵浏览器User Agent信息，伪装成不支持FIDO的环境，诱使用户选择较弱的验证方式，如短信验证码或一次性密码。攻击者通过中间人钓鱼框架搭建伪造登录页面，截取用户的验证数据，从而获取登录凭证和会话Cookie，最终完全接管账户。虽然目前尚未发现实际攻击案例，但此攻击手法对高度针对性的高级持续性威胁场景具有潜在威胁。

🔑 **新型FIDO降级攻击的原理：** 该攻击并非利用FIDO协议本身的漏洞，而是通过操纵浏览器User Agent（浏览器向服务器标识自身信息的字符串）来欺骗系统。攻击者使浏览器伪装成不支持FIDO的环境，从而触发系统禁用FIDO认证，并提示用户选择其他验证方式。

🎯 **攻击流程与中间人钓鱼：** 攻击始于一个钓鱼链接，将用户导向一个由Evilginx等中间人攻击框架搭建的伪造登录页面。该页面代理真实的微软Entra ID登录表单，但通过配置的“phishlet”模块，伪造了不支持FIDO的User Agent信息。

⚠️ **诱导用户选择弱验证方式：** 当系统检测到“不支持FIDO”的环境后，会禁用FIDO功能并返回错误提示。这会引导用户选择其他验证方式，如微软验证器应用、短信验证码或一次性密码。这些替代验证方式的敏感信息在传输过程中容易被攻击者截取。

🔐 **账户接管与会话劫持：** 一旦用户完成了替代验证，攻击者就能通过代理服务器获取完整的登录凭证和会话Cookie。随后，攻击者可以将这些信息导入本地浏览器，从而实现对用户账户的完全接管。

🛡️ **潜在威胁与适用场景：** 尽管目前尚无在野外利用此攻击的案例，但这种攻击手法对于高度针对性的高级持续性威胁（APT）场景具有显著的潜在威胁，能够有效绕过多因素认证的保护。

IT之家 8 月 14 日消息，科技媒体 bleepingcomputer 昨日（8 月 13 日）发布博文，报道称安全研究人员发现一种新型 FIDO 降级攻击，可绕过微软 Entra ID 中的 FIDO 认证机制，诱使用户使用较弱的验证方式登录，从而暴露于中间人钓鱼攻击。

FIDO 是 Fast Identity Online 的缩写，是一套开放标准，旨在实现无密码认证，提升账户安全性。

来自 Proofpoint 的安全专家近日披露新型 FIDO 降级攻击，并非利用 FIDO 协议本身漏洞，而是通过操纵浏览器 User Agent（浏览器向服务器标识自身信息的字符串，用于判断设备与浏览器兼容性）信息，伪装成不支持 FIDO 的环境，让系统自动关闭 FIDO 认证并提示用户选择其他验证方法。

攻击流程始于钓鱼链接，用户点击后被跳转到伪造登录页面（由 Evilginx 等中间人攻击框架搭建），该页面代理真实 Entra ID 登录表单，但攻击者配置的“phishlet”模块伪造了不支持 FIDO 的 User Agent。

系统检测后禁用 FIDO 功能，并返回错误提示，引导用户选择微软验证器应用、短信验证码或一次性密码等替代方式，这些方法的验证数据在传输过程中可被截取。

一旦用户完成替代验证，攻击者即可通过代理服务器获取完整的登录凭证及会话 Cookie，并将其导入本地浏览器，从而完全接管账户。尽管目前尚无野外利用案例，但攻击适用于高度针对性的高级持续性威胁场景。