Microsoft Entra ID-aanval zwakt authenticatie af

In dit artikel:

Proofpoint-onderzoekers ontdekten onlangs een relatief eenvoudige maar effectieve methode om sessies in Microsoft Entra ID te kapen door FIDO-authenticatie te omzeilen. De aanval begint als een slachtoffer een phishing-link (e-mail of sms) volgt naar een malafide site die met een Evilginx phishlet fungeert als proxy voor de echte Entra ID-inlogpagina. Door de browser user‑agent te spoofen (bijvoorbeeld Safari op Windows na te bootsen, een combinatie zonder FIDO-ondersteuning) dwingt de site Entra ID automatisch FIDO uit te schakelen en de gebruiker een alternatieve verificatiemethode te laten kiezen.

Zodra de gebruiker een zwakkere fallback-methode gebruikt (Microsoft Authenticator, SMS-codes), kan de AiTM-proxy zowel inloggegevens als de MFA-token of sessie-cookie onderscheppen. De aanvaller importeert die gestolen cookie in een eigen browser en verkrijgt zo volledige toegang tot het account. De techniek misbruikt niet een fout in FIDO zelf, maar de mogelijkheid van systemen om te vallen terug op minder veilige verificatie wanneer FIDO niet beschikbaar lijkt.

Tot nu toe is de methode niet wijdverspreid in echte aanvallen; criminelen richten zich momenteel vaker op accounts zonder MFA. Toch vormt dit een reëel risico voor gerichte campagnes. Verschilt van eerdere “PoisonSeed” aanpak, die in de praktijk onuitvoerbaar bleek door aanvullende vereisten.

Advies: schakel waar mogelijk fallback-authenticatie uit, zet extra controles/alerts aan bij wijziging van verificatiemethoden en wees sceptisch zodra een inlogproces plots om een andere methode vraagt dan de geregistreerde passkey.