安全研究人员近日发现一种新型FIDO降级攻击，可绕过微软Entra ID的身份验证机制，诱使用户在登录时选择安全性较低的验证方式，从而面临中间人钓鱼攻击风险。

该攻击由Proofpoint团队披露，其核心在于伪造浏览器User Agent，伪装成不支持FIDO协议的环境，迫使系统禁用FIDO认证。用户点击钓鱼链接后，将被引导至伪造的登录页面，在不知情中完成验证流程。

攻击者借此获取完整登录凭证及会话Cookie，可完全接管用户账户。尽管目前尚未发现实际攻击案例，但其潜在威胁不容忽视，尤其适用于高级持续性威胁场景。