IT 之家 8 月 14 日消息，科技媒体 bleepingcomputer 昨日（8 月 13 日）发布博文，报道称安全研究人员发现一种新型 FIDO 降级攻击，可绕过微软 Entra ID 中的 FIDO 认证机制，诱使用户使用较弱的验证方式登录，从而暴露于中间人钓鱼攻击。

FIDO 是 Fast Identity Online 的缩写，是一套开放标准，旨在实现无密码认证，提升账户安全性。

来自 Proofpoint 的安全专家近日披露新型 FIDO 降级攻击，并非利用 FIDO 协议本身漏洞，而是通过操纵浏览器 User Agent（浏览器向服务器标识自身信息的字符串，用于判断设备与浏览器兼容性）信息，伪装成不支持 FIDO 的环境，让系统自动关闭 FIDO 认证并提示用户选择其他验证方法。

攻击流程始于钓鱼链接，用户点击后被跳转到伪造登录页面（由 Evilginx 等中间人攻击框架搭建），该页面代理真实 Entra ID 登录表单，但攻击者配置的 "phishlet" 模块伪造了不支持 FIDO 的 User Agent。

系统检测后禁用 FIDO 功能，并返回错误提示，引导用户选择微软验证器应用、短信验证码或一次性密码等替代方式，这些方法的验证数据在传输过程中可被截取。

一旦用户完成替代验证，攻击者即可通过代理服务器获取完整的登录凭证及会话 Cookie，并将其导入本地浏览器，从而完全接管账户。尽管目前尚无野外利用案例，但攻击适用于高度针对性的高级持续性威胁场景。