সুরক্ষা গবেষকরা মাইক্রোসফ্ট এন্ট্রা আইডির বিরুদ্ধে একটি নতুন এফআইডিও ডাউনগ্রেড আক্রমণ তৈরি করেছেন যা ব্যবহারকারীদের দুর্বল লগইন পদ্ধতিগুলির সাথে প্রমাণীকরণে কৌশল করে, তাদের ফিশিং এবং সেশন হাইজ্যাকিংয়ের জন্য সংবেদনশীল করে তোলে।
এই দুর্বল লগইন চ্যানেলগুলি এভিলগিনেক্সের মতো সরঞ্জামগুলি নিয়োগ করে, আক্রমণকারীদের বৈধ সেশন কুকিজ ছিনিয়ে নিতে এবং অ্যাকাউন্টগুলি হাইজ্যাক করতে সক্ষম করে এমন বিরোধী-মধ্যম ফিশিং আক্রমণগুলির পক্ষে ঝুঁকিপূর্ণ।
যদিও আক্রমণটি ফিডোতে নিজেই দুর্বলতা প্রমাণ করে না, এটি দেখায় যে সিস্টেমটি বাইপাস করা যেতে পারে, এটি একটি গুরুত্বপূর্ণ দুর্বলতা।
এটি বিশেষত সমালোচনামূলক পরিবেশে ফিডো-ভিত্তিক প্রমাণীকরণের বর্ধিত গ্রহণের বিষয়টি বিবেচনা করে উদ্বেগজনক, প্রযুক্তির একটি পরিণতি অত্যন্ত ফিশিং-প্রতিরোধী হিসাবে চিহ্নিত করা হচ্ছে।
ফিডো পাসকিগুলি হ’ল ফিডো 2 এবং ওয়েবআউথন স্ট্যান্ডার্ডগুলির উপর ভিত্তি করে একটি পাসওয়ার্ডবিহীন প্রমাণীকরণ পদ্ধতি, যা পাসওয়ার্ড এবং traditional তিহ্যবাহী মাল্টি-ফ্যাক্টর প্রমাণীকরণ (এমএফএ) এর দুর্বলতাগুলি দূর করার জন্য ডিজাইন করা।
যখন কোনও ব্যবহারকারী কোনও পাসকি নিবন্ধন করে, তাদের ডিভাইসটি ব্যবহারকারীর পরিচয় যাচাই করে অনলাইন পরিষেবাগুলিতে লগইন করার সময় এলোমেলো, অনন্য চ্যালেঞ্জ সমাধানের জন্য ব্যবহৃত হয় এমন এক জোড়া কী (প্রাইভেট + পাবলিক) উত্পন্ন করে।
যেহেতু কেবলমাত্র ব্যবহারকারীর ডিভাইসটি সঠিক ব্যক্তিগত কী ধারণ করে, যা লগইন প্রক্রিয়া চলাকালীন কোথাও সংক্রমণ হয় না, এমন কিছুই ফিশিং অভিনেতারা বাধা দিতে পারে না।
ডাউনগ্রেডিং এবং ফিডো বাইপাসিং
দ্বারা নির্মিত নতুন ডাউনগ্রেড আক্রমণ প্রুফপয়েন্ট গবেষকরা ব্রাউজার ব্যবহারকারী এজেন্টকে স্পুফ করার জন্য এফআইডিও সমর্থনটির অভাব রয়েছে এমন একটি ব্রাউজার ব্যবহারকারী এজেন্টকে ছদ্মবেশে এভিলগিনেক্স বিরোধিতা-ইন-দ্য-মিডল (এআইটিএম) ফ্রেমওয়ার্কের মধ্যে একটি কাস্টম ফিশলেট নিয়োগ করে।
বিশেষত, গবেষকরা উইন্ডোতে সাফারি স্পুফারি করে, যা সামঞ্জস্যপূর্ণ নয় মাইক্রোসফ্ট এন্টার আইডিতে ফিডো-ভিত্তিক প্রমাণীকরণ সহ।
প্রুফপয়েন্টের গবেষক ইয়ানিভ মিরন ব্যাখ্যা করেছেন, “কার্যকারিতাতে এই আপাতদৃষ্টিতে তুচ্ছ ব্যবধানটি আক্রমণকারীরা লাভ করতে পারে।”
“একজন হুমকি অভিনেতা এআইটিএমকে একটি অসমর্থিত ব্যবহারকারী এজেন্টকে ফাঁকি দেওয়ার জন্য সামঞ্জস্য করতে পারেন, যা কোনও এফআইডিও বাস্তবায়ন দ্বারা স্বীকৃত নয়। পরবর্তীকালে, ব্যবহারকারীকে একটি কম সুরক্ষিত পদ্ধতির মাধ্যমে প্রমাণীকরণ করতে বাধ্য করা হবে। মাইক্রোসফ্ট প্ল্যাটফর্মগুলিতে পর্যবেক্ষণ করা এই আচরণটি একটি অনুপস্থিত সুরক্ষা ব্যবস্থা।”
যখন লক্ষ্যটি ইমেল, এসএমএস, বা একটি OAuth সম্মতি প্রম্পটের মাধ্যমে বিতরণ করা কোনও ফিশিং লিঙ্কটি ক্লিক করে, তখন সেগুলি কাস্টম ফিশলেট চালানো একটি ফিশিং সাইটে পরিচালিত হয়। যেহেতু এটি একটি এআইটিএম আক্রমণ, বৈধ মাইক্রোসফ্ট এন্ট্রা আইডি ফর্মটি ফিশিং প্ল্যাটফর্ম দ্বারা প্রক্সি করা হয় এবং লক্ষ্যযুক্ত ব্যবহারকারীকে দেখানো হয়।
কারণ ফিশলেট একটি অসমর্থিত ব্রাউজার ব্যবহারকারী এজেন্টকে স্পোফ করে, মাইক্রোসফ্ট এন্ট্রা আইডি ফিডো প্রমাণীকরণ বন্ধ করে দেয় এবং পরিবর্তে একটি ত্রুটি দেয়।
এই ত্রুটিটি মাইক্রোসফ্ট প্রমাণীকরণকারী অ্যাপ্লিকেশন, এসএমএস কোড বা ওটিপি -র মতো বিকল্প যাচাইকরণ ফ্যালব্যাক পদ্ধতি চয়ন করতে ব্যবহারকারীকে অনুরোধ করে।
যদি ব্যবহারকারী বিকল্প পদ্ধতিগুলির মধ্যে একটি ব্যবহার করে তবে এআইটিএম প্রক্সি তাদের অ্যাকাউন্টের শংসাপত্র এবং এমএফএ টোকেন বা সেশন কুকি উভয়কেই বাধা দেয়।
আক্রমণকারী তখন চুরি হওয়া কুকিটি তাদের নিজস্ব ব্রাউজারে আমদানি করে, ভুক্তভোগীর অ্যাকাউন্টে সম্পূর্ণ অ্যাক্সেস প্রদান করে, যা তাত্ত্বিকভাবে ফিশিং-প্রতিরোধী ছিল।
প্রুফপয়েন্ট বলছে যে এটি বন্যে হ্যাকারদের দ্বারা এখনও এই কৌশলটির কোনও মামলা ব্যবহার করা হয়নি, কারণ হুমকি অভিনেতারা এখনও এমএফএ সুরক্ষার অভাবযুক্ত অ্যাকাউন্টগুলির মতো সহজ লক্ষ্যগুলিতে মনোনিবেশ করেন। তবুও, ঝুঁকিটি উল্লেখযোগ্য, বিশেষত সীমিত, অত্যন্ত লক্ষ্যযুক্ত আক্রমণগুলিতে।
এই উদীয়মান হুমকি থেকে ঝুঁকিগুলি হ্রাস করার জন্য, আপনার অ্যাকাউন্টের জন্য ফ্যালব্যাক প্রমাণীকরণ পদ্ধতিগুলি বন্ধ করে দেওয়া বা এই জাতীয় প্রক্রিয়াগুলি ট্রিগার করা হলে অতিরিক্ত চেক এবং নিশ্চিতকরণগুলি সক্রিয় করার বিষয়টি বিবেচনা করুন।
যদি কোনও লগইন প্রক্রিয়া হঠাৎ করে নিবন্ধিত পাসকের পরিবর্তে আলাদা পদ্ধতি জিজ্ঞাসা করে তবে এটি একটি লাল পতাকা এবং ব্যবহারকারীদের অফিসিয়াল, বিশ্বস্ত চ্যানেলগুলির মাধ্যমে বাতিল এবং যাচাই করা উচিত।
জুলাইয়ে, এক্সপেল গবেষকরা ‘বিষাক্ত’ নামে ডাব করা একটি পৃথক ফিডো ডাউনগ্রেড আক্রমণ উপস্থাপন করেছিলেন, যেখানে একটি ফিশিং সাইট লক্ষ্যটির শংসাপত্রগুলি চুরি করে একটি ক্রস-ডিভাইস প্রমাণীকরণ প্রবাহ শুরু করে, প্রকৃত পরিষেবার লগইন পৃষ্ঠায় একটি কিউআর কোড তৈরি করে, একটি রোগ ডিভাইস থেকে লগইন অনুরোধটি অনুমোদনের জন্য লক্ষ্যকে চালিত করে।
যদিও ধারণাটি আকর্ষণীয় ছিল, গবেষকরা পরে আবিষ্কার করেছিলেন যে এটি নৈকট্য প্রয়োজনীয়তার কারণে এটি কার্যত অপ্রয়োজনীয় ছিল, যার ফলে প্রতারণামূলক প্রমাণীকরণের অনুরোধগুলি ব্যর্থ হয়েছিল।