AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Investigadores descubren ataque de degradación FIDO contra Microsoft Entra ID que expone a empresas a phishing avanzado**

admin

### 1. Introducción

La autenticación multifactor (MFA) basada en estándares FIDO2 ha sido adoptada de manera masiva como barrera crítica frente a ataques de phishing y secuestro de sesiones. Sin embargo, un reciente hallazgo de investigadores de ciberseguridad revela una vulnerabilidad significativa en Microsoft Entra ID (antiguo Azure Active Directory), que permite a actores maliciosos orquestar ataques de degradación (downgrade) para forzar el uso de métodos de autenticación más débiles. Este vector, hasta ahora inexplorado en entornos FIDO2 corporativos, expone a organizaciones a campañas de phishing sofisticadas y posibles compromisos de cuentas de alto valor.

### 2. Contexto del Incidente o Vulnerabilidad

El equipo de investigación de Silverfort ha documentado un ataque de degradación sobre la implementación de FIDO2 en Microsoft Entra ID. El método explota la capacidad de Entra ID para ofrecer métodos de autenticación alternativos cuando el método primario FIDO2 falla o es manipulado. Así, un atacante puede forzar a la víctima a emplear, por ejemplo, credenciales basadas en contraseña o códigos OTP, mucho más susceptibles a técnicas de phishing y recolección de credenciales.

Este ataque se alinea con tendencias recientes, donde se buscan debilidades no en la criptografía subyacente, sino en los flujos de autenticación y la experiencia de usuario, aprovechando configuraciones laxas, políticas de fallback permisivas y la falta de controles estrictos en el backend de identidad.

### 3. Detalles Técnicos: CVE, Vectores y Tácticas

El ataque no ha sido todavía catalogado con un identificador CVE, aunque la comunidad de seguridad está presionando por su reconocimiento formal. El vector principal consiste en interceptar o manipular la solicitud inicial de autenticación FIDO2 mediante técnicas de adversary-in-the-middle (AitM) o manipulación de tráfico web.

**Tácticas y técnicas MITRE ATT&CK relevantes**:
– **T1556.001** (Modify Authentication Process: Reversible Credential Storage)
– **T1110** (Brute Force)
– **T1185** (Man in the Browser)
– **T1078** (Valid Accounts) para el uso de credenciales legítimas degradadas.

El ataque puede implementarse en escenarios de phishing personalizados, donde el usuario es dirigido a una página clonada del portal de autenticación de Entra ID. Mediante proxies inversos o herramientas como Evilginx2, el atacante fuerza errores en la autenticación FIDO2 y manipula las respuestas del servidor para ofrecer métodos alternativos. Una vez el usuario introduce credenciales menos seguras (contraseña, SMS OTP, etc.), el atacante intercepta y reutiliza estos datos para secuestrar la sesión.

**Herramientas y frameworks potencialmente involucrados:**
– **Evilginx2**, **Modlishka** (reverse proxy AitM)
– **Metasploit** para pruebas de explotación
– Scripts personalizados sobre Python y Selenium para automatizar la degradación y recolección de tokens.

Los Indicadores de Compromiso (IoC) habituales incluyen endpoints de autenticación accedidos desde IPs inusuales, saltos en la secuencia de métodos MFA y logs de fallback activados.

### 4. Impacto y Riesgos

El riesgo principal radica en la falsa percepción de seguridad de las organizaciones que han migrado a MFA basado en FIDO2, creyendo erróneamente que son inmunes al phishing. Según estimaciones internas de Silverfort, hasta el 60% de entornos Entra ID con MFA configurado mantienen activas rutas de fallback a métodos menos robustos.

El impacto potencial incluye:
– **Secuestro de cuentas privilegiadas (administradores, C-level)**
– **Acceso no autorizado a datos confidenciales y recursos cloud**
– **Incumplimiento de normativas como GDPR y NIS2 por exposición de datos personales**
– **Costes de remediación y respuesta a incidentes que pueden superar los 300.000 euros por suceso, según el Ponemon Institute**

### 5. Medidas de Mitigación y Recomendaciones

Microsoft recomienda revisar y endurecer las políticas de autenticación de Entra ID para:
– **Deshabilitar todos los métodos de fallback no resistentes a phishing** (contraseña, SMS OTP, llamadas telefónicas).
– Implementar **condiciones basadas en riesgo** y asegurar que solo dispositivos de confianza puedan iniciar autenticaciones FIDO2.
– Monitorizar logs de fallback y de errores MFA para detectar patrones anómalos.
– Configurar alertas para intentos de degradación y accesos desde ubicaciones geográficas atípicas.
– Utilizar Conditional Access para restringir el acceso de administradores exclusivamente a métodos FIDO2.

A nivel de defensa en profundidad, se recomienda el uso de soluciones de detección de proxies inversos y campañas de concienciación específicas para identificar intentos de engaño en el flujo de autenticación.

### 6. Opinión de Expertos

Andreas Mayer, analista senior de ThreatLabs, señala: “El valor de FIDO2 reside en su resistencia al phishing, pero si las organizaciones permiten caídas a métodos tradicionales, están desperdiciando su inversión y exponiéndose innecesariamente.”

Desde el CERT de España advierten que “la seguridad de la autenticación no es solo tecnología, sino también política y monitorización activa. Los ataques de degradación son especialmente peligrosos porque explotan el eslabón más débil: la configuración.”

### 7. Implicaciones para Empresas y Usuarios

Para los responsables de seguridad (CISOs, SOCs), este incidente subraya la importancia de auditar periódicamente la configuración de los proveedores de identidad cloud y verificar que no existen rutas de autenticación menos seguras habilitadas, incluso de forma residual. La presión regulatoria, especialmente bajo NIS2 y GDPR, obliga a justificar ante auditorías que la autenticación resistente a phishing es la única permitida para accesos críticos.

Los usuarios corporativos deben ser instruidos para reconocer intentos de degradación y reportar cualquier anomalía en el proceso de inicio de sesión.

### 8. Conclusiones

El ataque de downgrade FIDO2 a Microsoft Entra ID revela que la seguridad de la autenticación depende tanto de la tecnología como de la correcta configuración y supervisión de los flujos de acceso. La adopción de MFA resistente a phishing debe ir acompañada de la eliminación radical de métodos alternativos inseguros y de una vigilancia continua. Solo así se podrá garantizar la protección efectiva frente a los vectores de ataque más avanzados del panorama actual.

(Fuente: www.bleepingcomputer.com)