Black Hat USA 26

Na konferencii Black Hat USA 26 v Las Vegas, v termíne 1.–6. augusta 2026, budem prezentovať svoj najnovší výskum Pass-the-Passkey Family of Attacks.

Passkey sa postupne stávajú novým štandardom prihlasovania – a náš výskum ukázal, že niektoré reálne implementácie sú zraniteľné voči útokom, ktoré sú principiálne podobné Pass-the-Hash a NTLM Relay. Túto kategóriu útokov sme nazvali Pass-the-Passkey.

V prednáške ukážem:

  • Implementáciu Passkey vo významnej cloudovej službe, ktorá je zraniteľná práve voči tým útokom, pred ktorými mala chrániť.
  • Historické podpisy generované YubiKey kľúčmi uložené v čitateľnej podobe, ku ktorým majú prístup aj bežní (aj vzdialení) autentifikovaní používatelia.
  • Impersonáciu privilegovaných identít s obídením vynucovania phishing-resistant MFA a bez detekcie populárnymi XDR riešeniami.
  • Phishing, tampering, spoofing, fuzzing a prompt-flooding útoky proti Passkeys – niektoré z nich spustiteľné aj z kompromitovaných terminálových serverov alebo VM, prezentované cez populárnu C2 infraštruktúru.

Špecifikácia WebAuthn predpisuje 22-krokový proces validácie Passkey s netriviálnou kryptografiou a transakčnou logikou, takže urobiť pri implementácii chybu je jednoduché – dokonca aj pre firmy, ktoré sa na tvorbe štandardu podieľali. Otvorením zdrojového kódu nášho nástroja chceme ostatným pentesterom pomôcť odhaľovať ďalšie zraniteľnosti spôsobené nesprávnou verifikáciou Passkey.

Pozrite si tiež Black Hat Briefings prednášky a Arsenal prezentácie mojich kolegov zo SpecterOps.

Uvidíme sa v Las Vegas!