Tecnología

EDR NEWS te informa: How Attackers Bypass Synced Passkeys

Publicado en por edradmin
EDR NEWS te informa: How Attackers Bypass Synced Passkeys
15
Oct

15 de octubre de 2025Ravie LakshmananProtección de datos/Seguridad del navegador

TLDR

Incluso si no quita nada más de esta parte, si su organización está evaluando implementaciones de claves de acceso, es inseguro implementar claves de acceso sincronizadas.

  • Las claves de acceso sincronizadas heredan el riesgo de las cuentas en la nube y los procesos de recuperación que las protegen, lo que crea una exposición empresarial importante.
  • Los kits Adversary-in-the-middle (AiTM) pueden forzar respaldos de autenticación que eluden la autenticación segura por completo
  • Las extensiones de navegador maliciosas o comprometidas pueden secuestrar solicitudes de WebAuthn, manipular el registro o el inicio de sesión con clave de acceso e impulsar el autocompletado para filtrar credenciales y códigos de un solo uso.
  • Las claves de acceso vinculadas al dispositivo en las claves de seguridad de hardware ofrecen mayor seguridad y mejor control administrativo que las claves de acceso sincronizadas y deberían ser obligatorias para los casos de uso de acceso empresarial.

Riesgos de clave de acceso sincronizada

Vulnerabilidades de clave de acceso sincronizada

Las claves de acceso son credenciales almacenadas en un autenticador. Algunos están vinculados a dispositivos, otros se sincronizan entre dispositivos a través de servicios en la nube para consumidores como iCloud y Google Cloud. Sync mejora la usabilidad y la recuperación en escenarios de baja seguridad orientados al consumidor, pero cambia el límite de confianza a las cuentas en la nube y los flujos de trabajo de recuperación. La Alianza FIDO y Yubico tienen ambas emitió importantes avisos para que las empresas evalúen esta división y preferir opciones vinculadas al dispositivo para mayor seguridad.

Operacionalmente, las claves de acceso sincronizadas amplían la superficie de ataque de tres maneras:

  1. La apropiación indebida de cuentas en la nube o el abuso de recuperación pueden autorizar nuevos dispositivos, lo que luego erosiona la integridad de la credencial.
  2. Si un usuario inicia sesión en su dispositivo corporativo con su cuenta personal de Apple iCloud, las claves de acceso creadas podrían sincronizarse con sus cuentas personales; esto hace explotar dramáticamente la superficie de ataque más allá de los límites de seguridad empresarial.
  3. La mesa de ayuda y la recuperación de cuentas se convierten en los verdaderos puntos de control a los que se dirigen los atacantes porque pueden copiar el mismo llavero protegido en un dispositivo nuevo, desconocido y que no es de confianza.

Ataques de degradación de autenticación

Vea la sesión «capturada». (Fuente de la imagen: Proofpoint)

Los investigadores de Proofpoint documentaron un degradación práctica frente a Microsoft Entra ID donde un proxy de phishing falsifica un navegador no compatible, como Safari en Windows, Entra desactiva las claves de acceso y se guía al usuario para que seleccione un método más débil, como SMS u OTP. Luego, el proxy captura las credenciales y la cookie de sesión resultante y las importa para obtener acceso.

Este vector de amenazas depende del soporte desigual del sistema operativo y del navegador de webAuthnpasskey y de la aceptación por parte del proveedor de identidad (IdP) de métodos de autenticación débiles a favor de una consideración práctica de UX. Es un clásico adversario en el medio (AitM) impulsado por la dirección política. No rompe el enlace de origen de WebAuthn porque la plataforma nunca llega a una ceremonia de WebAuthn cuando una rama de compatibilidad la desactiva. Su método de autenticación más débil define su seguridad real.

Mediación inmediata en WebAuthn es una característica que permite a los sitios ofrecer un método de autenticación alternativo cuando WebAuthn no está disponible. Esto es útil para UX, pero los atacantes también pueden abusar de él para dirigir a los usuarios hacia rutas que no son webAuthn si la política lo permite.

Seguridad basada en navegador vulnerable a vectores de amenazas de extensión y autocompletado

Los investigadores de SquareX demostraron que un El entorno de navegador comprometido puede secuestrar llamadas WebAuthn. y manipular el registro o el inicio de sesión con clave de acceso. La técnica no rompe la criptografía de clave de acceso. Inyecta o intercepta el proceso del lado del navegador, por ejemplo, a través de una extensión maliciosa o un error XSS, para reiniciar el registro, forzar una reserva de contraseña o completar silenciosamente una afirmación.

Chrome documenta una API de extensión llamada «webAuthenticationProxy» que puede interceptar los métodos navigator.credentials.create() y navigator.credentials.get() una vez adjuntos y luego proporcionar sus propias respuestas. Esta capacidad existe para casos de uso de escritorio remoto, pero demuestra que una extensión con el permiso correcto puede ubicarse en la ruta WebAuthn.

Las extensiones también ejecutan scripts de contenido dentro del contexto de la página, donde pueden leer y modificar el DOM e impulsar los flujos de la interfaz de usuario, que incluyen la invocación de API de credenciales desde la página.

Una investigación independiente presentada en DEF CON describió el clickjacking de extensiones basado en DOM que apunta a los elementos de la interfaz de usuario inyectados por las extensiones del administrador de contraseñas. Un solo clic de un usuario en una página diseñada puede activar el autocompletado y la filtración de datos almacenados, como inicios de sesión, tarjetas de crédito y códigos de un solo uso. El investigador informa que en algunos escenarios, La autenticación de clave de acceso también se puede explotar y enumera versiones vulnerables de varios proveedores..

Las credenciales vinculadas al dispositivo son la única solución empresarial eficaz

Las claves de acceso vinculadas a dispositivos están vinculadas a un dispositivo específico, normalmente con la generación y el uso de claves privadas realizadas en componentes de hardware seguros. En la empresa, las claves de seguridad de hardware proporcionan señales de dispositivo consistentes, certificación y un ciclo de vida que puede inventariar y revocar.

Orientación para un programa de claves de acceso de nivel empresarial

Política

  • Exija autenticación resistente al phishing para todos los usuarios, y especialmente para aquellos con roles privilegiados. Acepte únicamente autenticadores vinculados al dispositivo que generen credenciales no exportables en el momento del registro y nunca abandone el dispositivo. Las credenciales deben estar basadas en hardware seguro y vinculadas de manera verificable al dispositivo físico que intenta iniciar sesión.
  • Elimine todos los métodos alternativos, como SMS, llamadas de voz, aplicaciones TOTP, enlaces de correo electrónico y aprobaciones automáticas. Estos existen para ser explotados durante ataques de ingeniería social y degradación. Si existe un recurso alternativo, un atacante lo forzará. Haz del camino fuerte el único camino.
  • Garantice la compatibilidad universal con el sistema operativo y el navegador para credenciales vinculadas a dispositivos resistentes al phishing. No ofrezca alternativas; sí, esto es posible; estaremos encantados de mostrarle una demostración de la plataforma de defensa de identidad de Beyond Identity. La cobertura universal es necesaria para una defensa completa porque usted está tan protegido como su eslabón más débil.

Postura del navegador y la extensión

  • Aplique listas permitidas de extensiones en navegadores administrados. No permita ninguna extensión que solicite permisos de webAuthenticationProxy, activeTab o secuencias de comandos de contenido amplio.
  • Supervise continuamente las instalaciones de extensiones y las tendencias de uso para detectar eliminaciones masivas sospechosas o escaladas de permisos inexplicables. El compromiso a nivel de extensión es cada vez más indistinguible de un usuario legítimo. Bloquee el comportamiento del navegador tan estrictamente como lo haría con un punto final.

Inscripción y Recuperación

  • Utilice autenticadores de alta seguridad como raíz de la recuperación. Ninguna mesa de ayuda, bandeja de entrada de correo electrónico o centro de llamadas debería poder eludir los controles resistentes al phishing. La recuperación suele ser el punto de entrada del atacante. Eliminar los vectores de ingeniería social y forzar la reprensión que cumpla con las políticas.
  • Solo permita la inscripción de credenciales vinculadas al dispositivo.
  • Capture metadatos de certificación en el momento del registro, incluido el modelo de dispositivo y el nivel de garantía. Rechace autenticadores no reconocidos o no verificables. La confianza comienza con el registro. Si no sabe qué creó la credencial, no controla el acceso.

Higiene del dispositivo y defensa en tiempo de ejecución

  • Vincular sesiones al contexto de dispositivo confiable. Una cookie de sesión nunca debería ser un artefacto portátil. La aplicación de la sesión en tiempo de ejecución debería vincular la identidad a la postura continua del dispositivo, no solo a una autenticación inicial.
  • Aplicar autenticación continua. Si la posición, la ubicación o el estado de seguridad del dispositivo cambian, solicite una nueva autenticación o niegue el acceso. Un inicio de sesión no es un pase de pasillo. El riesgo es dinámico, la autenticación también debe serlo.
  • Suponga que los intentos de autenticación con factores débiles deberían bloquearse de forma predeterminada. Vea cómo los clientes de Beyond Identity bloquear instantáneamente ataques de identidad basándose en el simple hecho de que no es una credencial sólida que intenta acceder.

Cómo se ve esto en la práctica

La arquitectura de un sistema de seguridad de identidad que ofrece una defensa inflexible contra ataques basados ​​en identidad, navegador y dispositivos se puede definir mediante estos tres rasgos:

  1. Credenciales vinculadas al dispositivo: Las credenciales nunca salen del dispositivo. No son exportables, están respaldados por hardware y no se pueden sincronizar ni reproducir en ningún otro lugar.
  2. Confianza continua: La autenticación nunca se detiene al iniciar sesión. Continúa durante toda la sesión, vinculado a las señales posturales del dispositivo.
  3. Aplicación universal de la higiene en los terminales: Todos los puntos finales están dentro del alcance. Incluso los dispositivos no administrados deben evaluarse en tiempo real para determinar su postura de riesgo y la integridad de la sesión.

El resultado final

Las claves de acceso sincronizadas no son un campo de fuerza apropiado para la defensa. Mejoran la usabilidad para casos de uso de consumidores a costa de la seguridad del acceso empresarial.

Vea más en acción en un próximo seminario web. Cómo los atacantes evitan FIDO: por qué fallan las claves de acceso sincronizadas y qué hacer en su lugar donde Beyond Identity revisará cómo ocurren las fallas de claves de acceso sincronizadas y cómo los principales equipos de seguridad, incluidos Snowflake y la Universidad de Cornell, cierran estos caminos.

¡Incluso si no puedes unirte, regístrate y obtendrás la grabación!


Las noticias de los piratas informáticos



Fuente

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *