行業新聞與博客
研究人員發現 Yubikeys 中存在難以修復但又難以利用的漏洞
Yubikeys 是最廣泛使用的雙因素身份驗證 (2FA) 硬件工具之一,其某些版本容易受到旁道攻擊。
安全專家兼 NinjaLab 聯合創始人 Thomas Roche 發現 YubiKey 5 系列設備存在加密漏洞,當攻擊者獲得對這些設備的臨時物理訪問權限時,這些設備很容易被克隆。
雖然該漏洞無法修復,但利用起來也非常困難。
瞭解如何使用 Yubikey
Yubikey 是 Yubico 開發的基於 USB 的物理安全設備,可在登錄在線賬户時增加一層額外的保護。它們通常用於2FA,除了密碼外,還需要物理設備才能訪問您的賬户。
許多安全專家認為 Yubikeys 是多因素身份驗證 (MFA) 最安全的硬件選項之一,尤其是因為它們通常支持快速身份在線 2 (FIDO2) 標準。
FIDO2 身份驗證由 FIDO 聯盟和萬維網聯盟(W3C)聯合開發,基於公鑰加密,比基於密碼的身份驗證更安全,對網絡釣魚和其他攻擊的抵抗力更強。
14 年來未被發現的側信道漏洞
在執行一種被他稱為 EUCLEAK 的旁道攻擊時,Roche 發現了許多 YubiKey 產品使用的加密庫中存在一個漏洞,這個漏洞允許他克隆這些設備。
旁信道攻擊是一種利用設備或系統的物理特性來提取敏感信息的入侵行為。
研究人員指出,側信道漏洞是最大的安全元件製造商之一英飛凌科技提供的一個加密庫中的缺陷,14 年來一直未被發現,並且經過了約 80 次最高級別的通用標準認證評估。
研究人員在發表其實驗結果之前聯繫了 Yubico。
受影響的 Yubikey 設備
Yubico 在一份公開諮詢中承認了該漏洞,並指出受影響的設備包括:
- YubiKey 5 系列 5.7 版之前版本
- YubiKey 5 FIPS 系列 5.7 版之前版本
- YubiKey 5 CSPN 系列 5.7 版之前版本
- YubiKey Bio 系列 5.7.2 版之前版本
- 5.7 版之前的安全密鑰系列
- YubiHSM 2 2.4.0 之前版本
- YubiHSM 2 FIPS 2.4.0 版本之前
較新的版本不受影響。
複雜的 Yubikey 漏洞利用場景
該主要製造商表示,該漏洞的嚴重程度為“中等”。
部分原因是該攻擊相對難以利用。Roche 使用了價值 11,000 歐元的材料進行 EUCLEAK 攻擊,並且能夠物理訪問該設備 - 這兩個標準可能會讓人望而卻步。
Roche 提供了一個可以成功利用 Yubikey 漏洞的典型攻擊場景:
- 攻擊者竊取受 FIDO 保護的受害者應用程序帳户的登錄名和密碼(例如通過網絡釣魚攻擊)
- 攻擊者在有限的時間內對受害者的設備進行物理訪問,而受害者卻毫不知情
- 由於竊取了受害者的登錄名和密碼(針對給定的應用程序帳户),攻擊者可以在執行側信道測量的同時,根據需要多次向設備發送身份驗證請求
- 攻擊者悄悄地將 FIDO 設備歸還給受害者
- 攻擊者對測量結果進行旁道攻擊,成功提取與受害者應用程序賬户關聯的橢圓曲線數碼簽署算法 (ECDSA) 私鑰
- 攻擊者可以在受害者沒有注意到 FIDO 設備或受害者的情況下登錄受害者的應用程序帳户。換句話説,攻擊者為受害者的應用程序帳户創建了 FIDO 設備的克隆。只要合法用户不撤銷其身份驗證憑據,此克隆就會授予對應用程序帳户的訪問權限。
最近新聞
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要幫助嗎?聯繫我們的支持團隊 在線客服