新型FIDO降级攻击绕过微软Entra ID认证，用户面临中间人钓鱼风险

近日，安全研究人员发现了一种新型的FIDO降级攻击手段，该攻击方式能够绕过微软Entra ID中的FIDO认证机制，诱使用户使用安全性较低的验证方式进行登录，从而面临中间人钓鱼攻击的风险。

FIDO，即“快速身份在线”，是一套用于实现无密码身份验证的开放标准，旨在提升账户的安全性。此次发现的新型攻击并非针对FIDO协议本身的漏洞，而是通过篡改浏览器User Agent信息，伪装成不支持FIDO的环境，从而让系统自动禁用FIDO认证功能，并引导用户选择其他验证方式。

系统在识别该User Agent后，将自动关闭FIDO验证选项，并提示用户选择微软验证器应用、短信验证码或一次性密码等替代验证方式。而这些方式在通信过程中存在验证信息被截取的风险。

当用户完成替代方式的验证后，攻击者便能通过代理服务器获取完整的登录凭证及会话Cookie，并将其导入本地浏览器，从而实现对用户账户的完全控制。

尽管目前尚未发现该攻击在现实环境中的具体利用案例，但其具备较高的隐蔽性和针对性，适用于高级持续性威胁场景，值得引起高度重视。