研究人員發現了一種名為「FIDO 降級攻擊」的新型攻擊手法，能夠有效繞過 Microsoft Entra ID 的 FIDO 身分驗證機制。此攻擊的核心在於其惡意行為的隱蔽性，它並非直接破解 FIDO 安全金鑰，而是透過欺騙伺服器，讓用戶在不知情的情況下使用安全性較低的備援驗證方式。

此攻擊由資安公司 Proofpoint 的研究人員所開發，他們利用了一款名為 Evilginx 的網路釣魚工具，並建立了一個特製的「phishlet」檔案。該檔案能夠模擬一個不受 FIDO 支援的特定瀏覽器使用者代理（例如 Windows 系統上的 Safari 瀏覽器）。當用戶點擊惡意網路釣魚連結時，攻擊者會透過這個模擬的使用者代理向 Microsoft Entra ID 服務發送請求。

由於系統誤認為用戶的瀏覽器不支援 FIDO，便會自動關閉這項強大的身分驗證功能，並提示用戶選擇其他備援的登入方式。這些備援選項通常包括較容易被破解的 Microsoft Authenticator App 或 SMS 簡訊代碼。一旦用戶選擇了這些方式並輸入憑證，攻擊者便能輕易地攔截用戶的登入資料或會話 cookie，進而完全奪取帳戶的控制權。

研究人員強調，雖然這種攻擊目前尚未在現實世界中被大規模觀察到，但其潛在的風險極高，特別是對於那些受到高度針對性攻擊的目標而言。這種攻擊證明了即使是看似牢不可破的多重要素驗證（MFA）也存在弱點，尤其是在其備援機制上。

為了防範此類攻擊，建議用戶應採取相關措施：首先，企業組織應考慮禁用不安全的備援驗證方法，或者僅允許使用高強度的驗證方式作為備援。其次，用戶自身應提高警覺，當登入過程中出現與平時不同的驗證提示，或是被要求使用不同的登入方法時，應立即提高警惕，切勿輕易輸入任何憑證或代碼。

資料來源：https://www.bleepingcomputer.com/news/security/new-downgrade-attack-can-bypass-fido-auth-in-microsoft-entra-id/