Старые модели YubiKey подвержены атакам по сторонним каналам из-за неустранимой уязвимости 2FA

Была обнаружена критическая уязвимость безопасности, затрагивающая многие устройства двухфакторной аутентификации YubiKey, нарушающая их безопасность без видимого исправления. Рекомендации по безопасности Yubico подтвердили, что Yubikey 5 и Security Key Series до прошивки 5.7 навсегда уязвимы для атаки клонирования высокого уровня. Однако среднестатистическому пользователю не стоит слишком беспокоиться об этой уязвимости.

Серия Yubikey 5, YubiHSM 2 и другие продукты двухфакторной аутентификации от Yubico и других поставщиков, использующие чип TPM серии Infineon SLB96xx, уязвимы для недавно обнаруженной атаки. Исследователи безопасности из NinjaLab протестировали продукты Yubikey 5 — поскольку они являются наиболее распространенными инструментами аутентификации FIDO — и обнаружили, что проблема в библиотеке Infineon позволяет злоумышленникам клонировать ключи. Все чипы Infineon, выпущенные 14 лет назад и работающие с любой версией его криптографической библиотеки, уязвимы для той же атаки.

Физические двухфакторные устройства аутентификации FIDO, такие как Yubikeys, являются чрезвычайно ценными удобствами для пользователей, которые хотят сэкономить время по сравнению с использованием приложения-аутентификатора при входе в защищенные компьютеры, веб-сайты или приложения. Потенциальные пользователи включают в себя всех, от государственных служащих с конфиденциальными секретами до тех, кому нечего скрывать, но кто считает, что включение компьютера с помощью ключа — это круто.

Эта атака клонирования является серьезным недостатком для любого инструмента 2FA, хотя материалы, необходимые для ее выполнения, делают эту уязвимость не проблемой для большинства потребителей. Для атаки сначала требуется, чтобы злоумышленники получили ключ, и в этот момент ключ уже полностью скомпрометирован. Затем, после открытия ключа, устройство Yubikey должно быть подключено к установке за 45 000 долларов (хотя исследователи полагают, что установка за 11 000 долларов будет работать просто отлично) для считывания измерений электромагнитных побочных каналов. Этот процесс занимает час, чтобы захватить электромагнитные излучения, а затем день, чтобы клонировать ключ. Теперь, когда чип Infineon был успешно взломан, ключ можно клонировать, а оригинал можно собрать заново и тайно вернуть его владельцу.

Сложность шагов, необходимых для выполнения атаки, делает ее реальный риск близким к нулю для большинства владельцев Yubikey. Однако тем, у кого есть очень конфиденциальная информация, например, государственным служащим, журналистам или работникам здравоохранения, может потребоваться рассмотреть возможность постепенного отказа от уязвимого оборудования в пользу более нового оборудования без уязвимости. Когда мы попросили Yubico прокомментировать ситуацию, представитель компании дал следующее:

" Эта проблема была обнаружена в криптографической библиотеке Infineon, которая используется в старых версиях устройств Yubico. Последние аппаратные ключи безопасности YubiKey 5 Series и Security Key Series от Yubico, которые в настоящее время доступны для покупки на Yubico.com, включают прошивку 5.7. Прошивка 5.7 содержит собственную криптографическую библиотеку Yubico, и эти новые устройства не подвержены уязвимости Infineon.

FIDO — самый сильный, устойчивый к фишингу протокол. Yubico (и исследователи в своем отчете) настоятельно рекомендуют продолжать использовать аутентификаторы FIDO вместо более слабых методов аутентификации, таких как OTP или SMS.

Чтобы избежать локальных и физических угроз, пользователи должны продолжать принимать меры предосторожности для сохранения физического контроля над своими YubiKey. В случае утери или кражи YubiKey пользователи всегда должны незамедлительно отменять регистрацию ключей в связанных приложениях и службах. Это также соответствует рекомендуемой передовой практике иметь основной и резервный ключ.

Yubico продает продукты с прошивкой 5.7.0 и более новой с мая этого года. По соображениям безопасности прошивка не может быть обновлена задним числом для более старых продуктов, поэтому заинтересованным в замене затронутых продуктов следует обратить внимание на продукты Yubico с прошивкой 5.7.0 или более новой или на других производителей ключей 2FA.

Источник: Tomshardware.com