Krytyczna luka wykryta w Windows Hello. Microsoft nie komentuje

Krytyczna luka wykryta w Windows Hello. Microsoft nie komentuje

Microsoft od miesięcy promuje przejście z tradycyjnych haseł na biometryczny system logowania Windows Hello, zapewniając użytkowników o jego bezpieczeństwie. Jednak prezentacja na konferencji Black Hat w Las Vegas wykazała, że implementacja biznesowa tej technologii może mieć poważne słabości.

Badacze Baptiste David i Tillmann Osswald z niemieckiej firmy ERNW Research, działającej przy wsparciu rządu federalnego, zaprezentowali metodę pozwalającą obejść zabezpieczenia Hello i uzyskać dostęp do komputerów firmowych.

Jak działał atak

Podczas demonstracji Osswald i David pokazali, że lokalny administrator lub osoba mająca dostęp do danych uwierzytelniających może, za pomocą złośliwego oprogramowania lub innych technik, wprowadzić do systemu Windows Hello fałszywe dane biometryczne. W praktyce oznacza to możliwość skonfigurowania komputera tak, by rozpoznawał dowolną twarz lub odcisk palca, co otwiera drogę do przejęcia konta.

Windows Hello w wersji dla biznesu umożliwia logowanie do środowisk takich jak Entra ID czy Active Directory, co daje dostęp do wewnętrznych serwerów firmowych. Klucz kryptograficzny powiązany z danymi biometrycznymi jest przechowywany w bazie danych chronionej mechanizmem CryptProtectData. Badacze wykazali jednak, że osoba z uprawnieniami administratora lokalnego jest w stanie złamać to zabezpieczenie, wykorzystując informacje dostępne w oprogramowaniu.

Ograniczenia ochrony Enhanced Sign-in Security

Microsoft wprowadził funkcję Enhanced Sign-in Security (ESS), która działa w obszarze wyższego poziomu zaufania wirtualnego hiperwizora (VTL1) i ma blokować tego typu ataki. ESS jest domyślnie włączone, ale wymaga kompatybilnego sprzętu, którego wiele firmowych komputerów nie posiada.

Osswald przyznał, że nawet zakupione stosunkowo niedawno laptopy ThinkPad w jego firmie nie wspierają ESS w pełni, ponieważ korzystają z układów AMD zamiast Intela. Brak tzw. bezpiecznego czujnika kamery eliminuje możliwość wykorzystania tej warstwy ochrony.

Demonstracja na żywo

Podczas wystąpienia na Black Hat badacze pokazali praktyczny scenariusz ataku. David zalogował się do swojego komputera poprzez rozpoznawanie twarzy, po czym Osswald wprowadził do bazy danych systemu Windows Hello obraz biometryczny pochodzący z innego urządzenia. W efekcie komputer Davida uznał go za uprawnionego użytkownika i został natychmiast odblokowany.

Eksperci twierdzą, że naprawa tej luki wymagałaby głębokiej ingerencji w kod systemu lub przeniesienia przechowywania danych biometrycznych do modułu TPM. To jednak może okazać się niewykonalne w wielu środowiskach.

Zalecenia i brak komentarza ze strony Microsoftu

Zespół ERNW rekomenduje, aby w przypadku korzystania z Windows Hello for Business bez wsparcia ESS wyłączyć logowanie biometryczne i używać kodu PIN. Do momentu publikacji artykułu Microsoft nie udzielił odpowiedzi na pytania dotyczące ustaleń niemieckich badaczy.

Badania nad bezpieczeństwem systemu Windows prowadzone są w ramach dwuletniego projektu Windows Dissect, finansowanego przez Niemiecki Federalny Urząd ds. Bezpieczeństwa IT. Program ma zakończyć się wiosną przyszłego roku, a badacze zapowiadają, że ujawnione niedociągnięcia mogą być dopiero początkiem listy problemów.

Obserwuj nas w Google News

Pokaż / Dodaj komentarze do: Krytyczna luka wykryta w Windows Hello. Microsoft nie komentuje

 0
Kolejny proponowany artykuł
Kolejny proponowany artykuł
Kolejny proponowany artykuł
Kolejny proponowany artykuł