Microsoft Entra passkey-regisztrációval élnek vissza kifinomult vishing támadásokban

Microsoft Entra passkey-regisztrációval élnek vissza kifinomult vishing támadásokban

Kiberbűnözők a Microsoft jelszómentes hitelesítési törekvéseit fordítják a felhasználók ellen: hamis IT-támogatási hívásokkal arra veszik rá az alkalmazottakat, hogy támadói irányítás alatt álló passkeyt regisztráljanak saját Microsoft 365-fiókjukhoz.

Az Okta kutatói a kampányt az O-UNC-066 néven követett fenyegetési klaszterhez kapcsolják, amelyet a Palo Alto Networks Unit 42 Pink néven azonosít. A támadássorozat legalább 2026 áprilisa óta aktív, és több iparág szervezeteit célozta, köztük egészségügyi, technológiai, autóipari, építőipari, légiközlekedési és élelmiszeripari vállalatokat.

Nem jelszót lopnak, hanem saját passkeyt regisztrálnak

A hagyományos phishingkampányok általában felhasználónevek, jelszavak vagy egyszer használatos hitelesítési kódok megszerzésére törekednek.

Ebben az esetben azonban a támadók a Microsoft Entra legitim passkey-regisztrációs folyamatát használják fel.

A cél az, hogy az áldozat saját maga engedélyezzen egy olyan phishingrezisztens hitelesítési módszert, amelyet valójában a támadó birtokol.

Ez különösen veszélyes, mert egy sikeresen regisztrált támadói passkey a jelszó későbbi módosítása után is használható maradhat.

A Microsoft biztonsági funkcióját fordítják a felhasználók ellen

A Microsoft az elmúlt időszakban felgyorsította a passkeyk vállalati bevezetését a jelszómentes hitelesítési stratégia részeként.

A Microsoft Entra regisztrációs kampányai lehetővé teszik, hogy a rendszergazdák a sikeres bejelentkezés és többtényezős hitelesítés után passkey vagy Microsoft Authenticator regisztrálására ösztönözzék a felhasználókat.

A rendszergazdák beállíthatják:

  • mely felhasználók vagy csoportok kapjanak felszólítást;
  • milyen gyakran jelenjen meg az emlékeztető;
  • meddig halasztható a regisztráció;
  • kötelezővé váljon-e később a hitelesítési módszer beállítása.

A támadók arra építenek, hogy a felhasználók egyre gyakrabban találkoznak valódi passkey-regisztrációs értesítésekkel, ezért kevésbé gyanakodnak egy hasonló kérésre.

Hamis helpdesk-hívással kezdődik a támadás

A kampány vishinggel, vagyis hangalapú adathalászattal indul.

Az alkalmazottakat olyan személyek hívják fel, akik belső IT-támogatási munkatársnak vagy biztonsági adminisztrátornak adják ki magukat.

A hívók azt állítják, hogy:

  • új Microsoft Entra biztonsági előírás lépett életbe;
  • sürgősen frissíteni kell a hitelesítési beállításokat;
  • kötelező új passkeyt regisztrálni;
  • a folyamatot azonnal végre kell hajtani.

Az áldozatokat olyan phishingoldalakra irányítják, amelyek domainnevében gyakran szerepel a „passkey” szó, és amelyek Microsoft-logókat, vállalati arculati elemeket, valamint Entra-bejelentkezési oldalakat utánzó felületeket használnak.

Valós időben irányított phishingrendszer

A támadók nem hagyományos, teljesen automatizált adversary-in-the-middle proxyt használnak.

Az Okta szerint egy egyedi, PHP-alapú vezérlőpanellel dolgoznak, amelyen keresztül az operátor valós időben irányíthatja az áldozat hitelesítési folyamatát.

A rendszer másodpercenként frissíti az adatokat a phishingfelület és a támadó között.

Ez lehetővé teszi, hogy a támadó alkalmazkodjon ahhoz, milyen MFA-módszert használ a felhasználó, például:

  • Microsoft Authenticator push értesítést;
  • számillesztéses jóváhagyást;
  • TOTP-kódot;
  • SMS-ben kapott hitelesítési kódot.

A támadó a folyamat minden lépését figyelheti, és az aktuális hitelesítési kihíváshoz igazíthatja a hamis oldalt.

A valódi cél a támadó saját hitelesítőjének hozzáadása

Miután a támadó sikeresen végigvezeti az áldozatot a bejelentkezésen, megkezdődik a legveszélyesebb szakasz.

A felhasználó azt hiszi, hogy a saját passkeyét regisztrálja.

A háttérben azonban egy támadó által birtokolt eszközön tárolt passkey kerül hozzáadásra a Microsoft Entra-fiókhoz.

Ezzel a támadó tartós hitelesítési lehetőséget szerezhet anélkül, hogy később szüksége lenne az áldozat jelszavára vagy MFA-kódjára.

A jelszó-visszaállítás önmagában nem feltétlenül elég

Az incidenskezelést jelentősen megnehezíti, hogy a jelszó módosítása nem feltétlenül szünteti meg a támadó hozzáférését.

Ha a rosszindulatúan regisztrált passkey továbbra is aktív marad, a támadó újból bejelentkezhet.

Ezért kompromittált Microsoft 365-fióknál nem elegendő kizárólag:

  • jelszót cserélni;
  • munkameneteket megszakítani;
  • MFA-t újraindítani.

Ellenőrizni és szükség esetén törölni kell az összes újonnan hozzáadott hitelesítési módszert is.

Hamis helyreállítási kifejezéssel teszik hitelesebbé a csalást

Az Okta egy szokatlan elemet is azonosított a folyamatban.

A passkey regisztrációja után az áldozatok Microsoft-arculatú oldalt látnak, amely egy kriptotárcák seed phrase-éhez hasonló helyreállítási kifejezés feljegyzésére kéri őket.

A rendszer ezután arra kéri a felhasználót, hogy a kifejezés bizonyos szavait ellenőrzésként újra adja meg.

A Microsoft Entra valódi passkey-regisztrációja azonban nem használ BIP-39 szabványú recovery phrase-t.

A hamis helyreállítási folyamat célja valószínűleg az, hogy technikailag fejlettnek és hitelesnek tüntesse fel a támadást, miközben eltereli a figyelmet a rosszindulatú hitelesítő regisztrációjáról.

A Pink csoport vállalati adatlopásra fókuszál

A Pink nevű fenyegetési szereplőt a kutatók a The Com néven ismert decentralizált kiberbűnözői közösséghez kapcsolják.

E csoport tagjai gyakran foglalkoznak:

  • social engineeringgel;
  • SIM-swappinggel;
  • hitelesítőadat-lopással;
  • vállalati rendszerek kompromittálásával;
  • pénzügyi célú adatlopással.

A Pink a megszerzett Microsoft 365-hozzáféréssel gyakran az alábbi szolgáltatásokat célozza:

  • Microsoft SharePoint;
  • Microsoft OneDrive;
  • vállalati dokumentumtárak;
  • belső együttműködési rendszerek.

A megszerzett adatokat később zsarolási célra használhatják fel.

A passkey technológia továbbra is biztonságos

A kampány nem a passkeyk kriptográfiai gyengeségét használja ki.

A passkey továbbra is az egyik legerősebb hitelesítési megoldás, mert:

  • nem használ újrahasznosítható jelszót;
  • nyilvános kulcsú kriptográfiára épül;
  • ellenáll a hagyományos credential phishingnek;
  • csökkenti a password spraying és credential stuffing kockázatát.

A támadás azért működik, mert az áldozatot ráveszik arra, hogy önként hagyjon jóvá egy támadói hitelesítési módszert.

A probléma tehát nem a passkey protokollban, hanem a regisztrációs folyamat körüli social engineeringben rejlik.

Hogyan védekezhetnek a szervezetek?

A szervezeteknek szigorú ellenőrzési eljárásokat kell kialakítaniuk minden olyan helpdesk-megkeresésre, amely hitelesítési módszer módosítását vagy passkey-regisztrációt kér.

Javasolt intézkedések:

  • Microsoft Entra auditnaplók folyamatos figyelése;
  • riasztás új passkey vagy hitelesítési módszer regisztrációjakor;
  • privilegizált fiókok hitelesítési módosításainak külön felügyelete;
  • földrajzi vagy hálózati alapú feltételes hozzáférési szabályok;
  • passkey-regisztráció kizárólag menedzselt eszközökről;
  • segítségkérő hívások visszaellenőrzése hivatalos belső csatornán;
  • felhasználók oktatása a hamis recovery phrase felismerésére;
  • ismeretlen passkeyk és hitelesítési módszerek rendszeres felülvizsgálata.

Mit kell tudniuk a felhasználóknak?

A felhasználókat egyértelműen tájékoztatni kell arról, hogy:

  • az IT-részleg nem kérhet passkey-regisztrációt kéretlen telefonhívásban;
  • egy hitelesítési módosítást mindig külön, hivatalos csatornán kell ellenőrizni;
  • a Microsoft Entra passkey-regisztráció nem használ kriptotárcákhoz hasonló helyreállítási szósort;
  • gyanús kérés esetén a folyamatot azonnal meg kell szakítani;
  • ismeretlen hitelesítési módszer megjelenését haladéktalanul jelenteni kell.

Az identitás vált az új fő támadási felületté

A kampány jól mutatja, hogy a támadók egyre gyakrabban kerülik meg a hagyományos malware-alapú megközelítést.

A cél már nem feltétlenül egy jelszó ellopása vagy egy kártékony program telepítése.

Ehelyett a támadók közvetlenül a szervezet megbízható identitási infrastruktúrájába próbálnak saját hitelesítési módszert beilleszteni.

Ez tartós, nehezen felismerhető és a klasszikus jelszó-visszaállításokkal szemben ellenálló hozzáférést biztosíthat.

Összegzés

Az O-UNC-066, illetve Pink néven követett csoport a Microsoft Entra passkey-regisztrációs folyamatát használja fel kifinomult vishing támadásokban.

A támadók nem törik fel a passkey technológiát. Ehelyett hamis IT-támogatási hívásokkal ráveszik az alkalmazottakat, hogy saját Microsoft 365-fiókjukhoz támadó által irányított passkeyt regisztráljanak.

A védekezés kulcsa a hitelesítési módszerek folyamatos monitorozása, a helpdesk-folyamatok szigorú ellenőrzése, a least privilege elv alkalmazása, valamint a felhasználók célzott oktatása.

Az oldal tartalma nem másolható!