TLDR

Incluso si no le quitas nada más a este artículo, si tu organización está evaluando las implementaciones de claves de paso, no es seguro implementar claves de paso sincronizadas.

  • Las claves de acceso sincronizadas heredan el riesgo de las cuentas en la nube y los procesos de recuperación que las protegen, lo que crea una importante exposición empresarial.
  • Los kits Adversary-in-the-Middle (AiTM) pueden forzar alternativas de autenticación que eluden por completo la autenticación sólida
  • Las extensiones de navegador malintencionadas o comprometidas pueden secuestrar las solicitudes de WebAuthn, manipular el registro o el inicio de sesión con claves de acceso e impulsar el llenado automático para filtrar credenciales y códigos de un solo uso.
  • Las claves de acceso vinculadas al dispositivo en las claves de seguridad de hardware ofrecen una mayor seguridad y un mejor control administrativo que las claves de acceso sincronizadas, y deberían ser obligatorias para los casos de uso de acceso empresarial

Riesgos de claves de paso sincronizadas

Vulnerabilidades de claves de acceso sincronizadas

Las claves de acceso son credenciales almacenadas en un autenticador. Algunas están vinculadas al dispositivo y otras se sincronizan entre dispositivos a través de servicios en la nube para consumidores, como iCloud y Google Cloud. La sincronización mejora la usabilidad y la recuperación en situaciones de baja seguridad orientadas al consumidor, pero traslada el límite de confianza a las cuentas en la nube y los flujos de trabajo de recuperación. La Alianza FIDO y Yubico tienen ambas emitió importantes avisos para que las empresas evaluaran esta división y preferir las opciones vinculadas al dispositivo para una mayor seguridad.

Desde el punto de vista operativo, las claves de acceso sincronizadas amplían la superficie de ataque de tres maneras:

  1. La apropiación o el abuso de la recuperación de cuentas en la nube pueden autorizar nuevos dispositivos, lo que a su vez erosiona la integridad de la credencial.
  2. Si un usuario inicia sesión en su dispositivo corporativo con su cuenta personal de Apple iCloud, las claves de acceso creadas podrían sincronizarse con sus cuentas personales; esto hace que la superficie de ataque explote drásticamente más allá de los límites de seguridad empresarial.
  3. La mesa de ayuda y la recuperación de cuentas se convierten en los verdaderos puntos de control a los que se dirigen los atacantes, ya que pueden copiar el mismo llavero protegido en un dispositivo nuevo, desconocido y que no sea de confianza.

Ataques de degradación de autenticación

Consulte la sesión «capturada». (Fuente de la imagen: Proofpoint)

Los investigadores de Proofpoint documentaron un práctica rebaja contra Microsoft Entra ID cuando un proxy de suplantación de identidad falsifica un navegador no compatible, como Safari en Windows, Entra desactiva las claves de acceso y se guía al usuario para que seleccione un método más débil, como SMS u OTP. A continuación, el proxy captura las credenciales y la cookie de sesión resultante y las importa para acceder a ellas.

Este vector de amenazas depende de la desigual compatibilidad de WebAuthnPasskey con el sistema operativo y el navegador y de la aceptación por parte del proveedor de identidad (IdP) de métodos de autenticación débiles en favor de una consideración práctica de UX. Se trata de un clásico sistema de adversario intermedio (AiTM) que se basa en la orientación de políticas. No rompe el enlace de origen de WebAuthn porque la plataforma nunca llega a una ceremonia de WebAuthn cuando una rama de compatibilidad lo desactiva. Su método de autenticación más débil define su seguridad real.

Mediación inmediata en WebAuthn es una función que permite a los sitios ofrecer un método de autenticación alternativo cuando WebAuthn no está disponible. Esto es útil para la experiencia de usuario, pero los atacantes también pueden abusar de él para dirigir a los usuarios hacia rutas que no sean de WebAuthn si la política lo permite.

La seguridad basada en el navegador es vulnerable a los vectores de amenazas de extensión y llenado automático

Los investigadores de SquareX demostraron que un un entorno de navegador comprometido puede secuestrar las llamadas de WebAuthn y manipular el registro o el inicio de sesión con clave de acceso. La técnica no interrumpe la criptografía de claves de acceso. Inyecta o intercepta el proceso del navegador, por ejemplo, mediante una extensión malintencionada o un error de XSS, para reiniciar el registro, forzar una contraseña alternativa o completar una afirmación de forma silenciosa.

Chrome documenta una API de extensión denominada «webAuthenticationProxy» que puede interceptar los métodos navigator.credentials.create () y navigator.credentials.get () una vez adjuntados y, a continuación, proporcionar sus propias respuestas. Esta función existe para los casos de uso de escritorios remotos, pero demuestra que una extensión con el permiso adecuado puede situarse en la ruta de acceso de WebAuthn.

Las extensiones también ejecutan scripts de contenido dentro del contexto de la página, donde pueden leer y modificar el DOM e impulsar los flujos de la interfaz de usuario, que incluyen la invocación de las API de credenciales desde la página.

Una investigación independiente presentada en DEF CON describió el hackeo de clics de extensiones basado en DOM que apunta a los elementos de la interfaz de usuario inyectados por las extensiones del administrador de contraseñas. Un solo clic de un usuario en una página creada puede provocar el llenado automático y la filtración de los datos almacenados, como los inicios de sesión, las tarjetas de crédito y los códigos de un solo uso. El investigador informa que, en algunos escenarios, la autenticación con clave de acceso también se puede aprovechar y enumera las versiones vulnerables de varios proveedores .

Las credenciales vinculadas al dispositivo son la única solución empresarial eficaz

Las claves de acceso vinculadas al dispositivo están vinculadas a un dispositivo específico y, por lo general, la generación y el uso de claves privadas se llevan a cabo en componentes de hardware seguros. En las empresas, las claves de seguridad de hardware proporcionan señales de dispositivo consistentes, atestaciones y un ciclo de vida que puedes inventariar y revocar.

Guía para un programa de claves de paso de nivel empresarial

Política

  • Exija una autenticación resistente a la suplantación de identidad para todos los usuarios, y especialmente para aquellos con funciones privilegiadas. Acepte únicamente los autenticadores vinculados al dispositivo que generen credenciales no exportables al registrarse y nunca abandone el dispositivo. Las credenciales deben estar enraizadas en un hardware seguro y estar vinculadas de forma verificable al dispositivo físico que intenta iniciar sesión.
  • Elimine todos los métodos alternativos, como los SMS, las llamadas de voz, las aplicaciones TOTP, los enlaces de correo electrónico y las aprobaciones push. Existen para ser explotados durante los ataques de ingeniería social y degradación. Si existe una alternativa, un atacante la forzará. Haz que el camino fuerte sea el único camino.
  • Asegúrese de que el sistema operativo universal y el navegador sean compatibles con las credenciales vinculadas al dispositivo y resistentes a la suplantación de identidad. No ofrezcas alternativas. Sí, es posible. Nos complace mostrarte una demostración de la plataforma de defensa de identidad de Beyond Identity. La cobertura universal es necesaria para una defensa completa porque estás tan protegido como tu eslabón más débil.

Postura del navegador y la extensión

  • Aplica las listas de extensiones permitidas en los navegadores gestionados. No permita ninguna extensión que solicite permisos de WebAuthenticationProxy, ActiveTab o amplios permisos para scripts de contenido.
  • Supervise continuamente las instalaciones de extensiones y las tendencias de uso para detectar eliminaciones masivas sospechosas o escaladas de permisos inexplicables. Los riesgos a nivel de extensión son cada vez más indistinguibles de los de un usuario legítimo. Bloquee el comportamiento del navegador con la misma precisión que lo haría con un punto final.

Inscripción y recuperación

  • Utilice autenticadores de alta seguridad como raíz de la recuperación. Ningún servicio de asistencia, bandeja de entrada de correo electrónico o centro de llamadas debería poder eludir los controles resistentes a la suplantación de identidad. La recuperación suele ser el punto de entrada del atacante. Elimine los vectores de ingeniería social y fuerce la implementación de reformas que cumplan con las políticas.
  • Permita solo la inscripción de credenciales vinculadas al dispositivo.
  • Capture los metadatos de la certificación en el momento del registro, incluidos el modelo del dispositivo y el nivel de garantía. Rechaza los autenticadores no reconocidos o no verificables. La confianza comienza con el registro. Si no sabe qué creó la credencial, no controla el acceso.

Higiene del dispositivo y defensa del tiempo de ejecución

  • Vincula las sesiones al contexto de un dispositivo de confianza. Una cookie de sesión nunca debe ser un artefacto portátil. La aplicación de la sesión en tiempo de ejecución debe vincular la identidad a la postura continua del dispositivo, no solo a una autenticación inicial.
  • Implemente la autenticación continua. Si la posición, la ubicación o el estado de seguridad del dispositivo cambian, solicite una nueva autenticación o deniegue el acceso. Un inicio de sesión no es un pase de pasillo. El riesgo es dinámico, la autenticación también debe serlo.
  • Supongamos que los intentos de autenticación con factores débiles deben bloquearse de forma predeterminada. Descubra cómo lo hacen los clientes de Beyond Identity bloquea instantáneamente los ataques de identidad basándose en el simple hecho de que no se trata de una credencial sólida que intente acceder .

Cómo se ve esto en la práctica

La arquitectura de un sistema de seguridad de identidad que ofrece una defensa sin concesiones contra los ataques basados en la identidad, el navegador y los dispositivos se puede definir mediante estos tres rasgos:

  1. Credenciales vinculadas al dispositivo: Las credenciales nunca salen del dispositivo. No se pueden exportar, están respaldadas por hardware y no se pueden sincronizar ni reproducir en ningún otro lugar.
  2. Confianza continua: La autenticación nunca se detiene al iniciar sesión. Continúa durante toda la sesión, en función de las señales posturales del dispositivo.
  3. Aplicación universal de la higiene en los terminales: Todos los puntos finales están dentro del alcance. Incluso los dispositivos no gestionados deben evaluarse en tiempo real para determinar la posición de riesgo y la integridad de la sesión.

El resultado final

Las claves de acceso sincronizadas no son un campo de fuerza apropiado para la defensa. Mejoran la facilidad de uso para los consumidores a costa de la seguridad del acceso empresarial.

Vea más información en acción en un próximo seminario web, Cómo los atacantes eluden FIDO: por qué fallan las claves de acceso sincronizadas y qué hacer en su lugar donde Beyond Identity analizará cómo se producen los errores de las claves de acceso sincronizadas y cómo los principales equipos de seguridad, incluidos Snowflake y la Universidad de Cornell, cierran estas rutas.

Incluso si no puedes unirte, ¡regístrate y obtendrás la grabación!

Código Meta Pixel
¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.