Microsoft
Beveiligingsonderzoekers op CyberArk slaagde erin om gezichtsherkenning van Windows Hello te omzeilen met behulp van een nepwebcam die IR-gegevens in een pc pompt. Het proces achter deze exploit is relatief eenvoudig, hoewel het geen serieuze zorg is voor de gemiddelde persoon, omdat het James Bond -achtige tactieken vereist om te slagen.
Windows Hello verifieert gebruikers met behulp van een IR-snapshot om een 3D-kaart van hun gezicht te zien, daarom kun je het authenticatiesysteem niet voor de gek houden met een afgedrukte foto. Maar je kunt het Windows Hello-authenticatiesysteem nog steeds”geldige”afbeeldingen vanaf een USB-apparaat invoeren, zolang het zich voordoet als een camera met IR-en RGB-sensoren.
Het CyberArk-team ontdekte dat Windows Hello een enkele IR-en RGB-afbeelding nodig heeft om een gebruiker te verifiëren. Dus laadden ze hun USB-apparaat met een geldige IR-lezing van het gezicht van een Windows-gebruiker, plus een RGB-afbeelding van Spongebob. Het USB-apparaat, aangesloten op een vergrendelde pc, heeft Windows Hello met succes doorbroken.
Het is duidelijk dat Windows Hello niet controleert of IR-afbeeldingen afkomstig zijn van een live feed en niet de inhoud controleert van welke RGB-afbeelding het ook wordt overhandigd (CyberArk zegt dat RGB-vereiste waarschijnlijk bestaat om spoofing te voorkomen). Een grondiger systeem zou het aanmeldingsproces van Windows Hello waarschijnlijk vertragen, wat voor sommige gebruikers het doel teniet zou kunnen doen.
Het team van CyberArk zegt dat hackers deze exploit waarschijnlijk nog nooit hebben gebruikt, wat logisch is. Om dit voor elkaar te krijgen, heeft een hacker fysieke toegang nodig tot een pc waarop Windows Hello wordt uitgevoerd, plus een bijna-IR-afbeelding van de gebruiker. Dus naast het stelen van een laptop of het sluipen in een gebouw, moet de hacker ook IR-foto’s van je maken op relatief korte afstand.
Niets van dit alles is onmogelijk, en het kan relatief eenvoudig zijn als u een hacker bent met een serieuze arbeidsethos, een agent op de loonlijst van de overheid of een ontevreden werknemer die probeert uw werkgever te belazeren. Maar er zijn hier nog veel kleine hindernissen. Kantoren die veiligheid serieus nemen, hebben de neiging om desktop-USB-poorten achter kooien te verbergen om bijvoorbeeld persoonlijke aanvallen te voorkomen, en u kunt problemen hebben met toegang tot gevoelige gegevens op een beveiligde computer of netwerk, zelfs als u een vergrendelingsscherm omzeilt.
Microsoft heeft identificeerde deze exploit en zegt dat er op 13 juli een patch is uitgebracht (hoewel het even kan duren voordat bedrijven de patch daadwerkelijk hebben geïnstalleerd). Het bedrijf wijst er ook op dat bedrijven die Windows Hello Enhanced Sign-in Security gebruiken, worden beschermd tegen hardware die niet vooraf is goedgekeurd door hun systeembeheerders-natuurlijk, als de hardwareapparaten die door een bedrijf worden gebruikt onveilig zijn, Enhanced Sign-in De beveiliging kan in gevaar komen.
CyberArk zegt dat het al zijn Windows Hello-bevindingen zal presenteren op Black Hat 2021 , dat plaatsvindt op 4 en 5 augustus.
Bron: CyberArk via Windows Central