新型FIDO降级攻击曝光，微软EntraID认证流程被钻空子

   安全圈刚被一条消息搅动了平静：向来被视为防钓鱼终极护盾的FIDO认证，竟在微软身份体系中被撕开了一道口子。Proofpoint的研究团队近日演示了一种攻击手法，无需破解FIDO协议本身，仅靠操纵系统行为就绕过了这道“铁闸”。攻击者搭建起一个精心伪装的中间人钓鱼平台，利用类似Evilginx的工具链布下陷阱。关键在于，他们伪造了浏览器身份——例如伪装成Windows上的Safari。微软EntraID检测到这类“不兼容FIDO”的浏览器环境时，会主动关闭FIDO认证通道，转而提示用户选择备用登录方式。正是这个切换动作，成了整个攻击链的命门。当用户面对看似合理的微软Authenticator推送、短信验证码或一次性密码输入框时，很少有人意识到自己已跌入圈套。这些验证数据通过中间人代理传输的瞬间，包括会话cookie在内的关键凭证便被攻击者截获。更令人不安的是，这些账户本应是理论上“免疫钓鱼”的。只需导入盗取的会话信息，攻击者就能在真实服务中畅通无阻。这种手法与七月底曝光的PoisonSeed攻击形成呼应——两者都利用了跨设备认证流程中的设计间隙，通过降级认证强度突破防线。目前尚未观测到黑客在野利用该技术，这或许是因为攻击仍需要高度定制化的钓鱼工具。但安全团队注意到，地下论坛中关于绕过FIDO的讨论热度正在攀升。尤其值得警惕的是，在金融、医疗等已部署FIDO的关键领域，一旦遭遇针对性攻击，后果可能远超普通数据泄露。微软系统的问题根源在于兼容性策略与安全强度的失衡。为照顾老旧设备而保留的弱认证方式，反而成了攻击跳板。类似情况在企业中并不罕见：某能源公司在部署FIDO密钥后仍允许短信验证码作为备用方案，结果在一次钓鱼演练中，超过40%的员工账户因降级攻击沦陷。要封堵这类漏洞，仅靠用户警惕远远不够。从防御视角看，最彻底的方案是强制关闭备用认证通道，特别是对敏感账户。但现实是，多数企业仍需平衡安全与可用性。折中做法包括增设登录行为分析层——例如检测到从“不支持FIDO的浏览器”发起登录却位于高信任区域，即可触发二次验证。这场攻防博弈折射出更深层矛盾：当我们为消灭密码而欢呼时，认证生态的复杂性却被低估了。FIDO是盾而非魔法，它的效力始终依赖于系统层面的严谨设计。随着八月初微软Authenticator全面清除密码存储功能，无密码化进程加速推进，这类降级攻击的破坏力可能进一步放大。未来几月将成为关键观察期——安全团队能否在攻击者规模化利用前，修补认证链条上的薄弱环节，将决定无密码转型能否真正守住安全承诺。