Microsoft
Ricercatori di sicurezza su CyberArk è riuscito a bypassare il riconoscimento facciale di Windows Hello utilizzando una webcam falsa che invia dati IR a un PC. Il processo alla base di questo exploit è relativamente semplice, sebbene non sia una seria preoccupazione per la persona media, poiché richiede tattiche simili a James Bond per riuscire.
Windows Hello verifica gli utenti usando un’istantanea IR per vedere una mappa 3D del loro viso, che ecco perché non puoi ingannare il sistema di autenticazione con una foto stampata. Ma puoi ancora inviare immagini”valide”al sistema di autenticazione di Windows Hello da un dispositivo USB, purché finga di essere una fotocamera con sensori IR e RGB.
Il team di CyberArk ha scoperto che Windows Hello richiede un singola immagine IR e RGB per verificare un utente. Quindi, hanno caricato il loro dispositivo USB con una lettura IR valida del volto di un utente Windows, oltre a un’immagine RGB di Spongebob. Il dispositivo USB, collegato a un PC bloccato, ha rotto con successo Windows Hello.
Evidentemente, Windows Hello non verifica che le immagini IR provengano da un feed live e non controlla il contenuto di qualsiasi immagine RGB viene consegnato (CyberArk afferma che probabilmente esiste il requisito RGB per prevenire lo spoofing). Un sistema più completo probabilmente rallenterebbe il processo di accesso a Windows Hello, il che potrebbe vanificare lo scopo per alcuni utenti.
Il team di CyberArk afferma che gli hacker probabilmente non hanno mai utilizzato questo exploit, il che ha senso. Per riuscirci, un hacker ha bisogno dell’accesso fisico a un PC che esegue Windows Hello, oltre a un’immagine quasi IR del suo utente. Quindi, oltre a rubare un laptop o intrufolarsi in un edificio, l’hacker dovrebbe scattarti foto IR a una distanza relativamente breve.
Niente di tutto questo è impossibile e potrebbe essere relativamente facile se tu Sei un hacker con una seria etica del lavoro, un agente sul libro paga del governo o un dipendente scontento che cerca di fregare il tuo datore di lavoro. Ma ci sono ancora molti piccoli ostacoli qui. Gli uffici che si occupano seriamente della sicurezza tendono a nascondere le porte USB del desktop dietro le gabbie per prevenire attacchi di persona, ad esempio, e potresti avere problemi ad accedere ai dati sensibili su un computer o una rete protetti anche se ignori una schermata di blocco.
Microsoft ha ha identificato questo exploit e afferma che una patch è stata rilasciata il 13 luglio (anche se potrebbe volerci un po’di tempo prima che le aziende installino effettivamente la patch). L’azienda sottolinea inoltre che le aziende che utilizzano la sicurezza di accesso avanzata di Windows Hello sono protette da qualsiasi hardware non pre-approvato dagli amministratori di sistema, ovviamente, se i dispositivi hardware utilizzati da un’azienda non sono sicuri, l’accesso avanzato La sicurezza potrebbe essere compromessa.
CyberArk afferma che presenterà tutti i risultati di Windows Hello al Black Hat 2021, che si terrà il 4 e 5 agosto.
Fonte: CyberArk tramite Windows Central
