Microsoft
Analitycy bezpieczeństwa w CyberArk zdołał ominąć rozpoznawanie twarzy Windows Hello za pomocą fałszywej kamery internetowej, która przesyła dane w podczerwieni do komputera. Proces kryjący się za tym exploitem jest stosunkowo prosty, chociaż nie stanowi poważnego problemu dla przeciętnego człowieka, ponieważ wymaga taktyk podobnych do Jamesa Bonda.
Windows Hello weryfikuje użytkowników używając migawki w podczerwieni, aby zobaczyć trójwymiarową mapę twarzy, która dlatego nie można oszukać systemu uwierzytelniania wydrukowanym zdjęciem. Ale nadal możesz przesyłać „prawidłowe” obrazy systemu uwierzytelniania Windows Hello z urządzenia USB, o ile udaje kamerę z czujnikami podczerwieni i RGB.
Zespół CyberArk stwierdził, że Windows Hello wymaga pojedynczy obraz IR i RGB w celu weryfikacji użytkownika. Załadowali więc swoje urządzenie USB z prawidłowym odczytem IR twarzy użytkownika systemu Windows oraz obrazem RGB Spongeboba. Urządzenie USB podłączone do zablokowanego komputera z powodzeniem przebiło się przez Windows Hello.
Najwyraźniej Windows Hello nie weryfikuje, czy obrazy w podczerwieni pochodzą z transmisji na żywo, ani nie sprawdza zawartości jakiegokolwiek obrazu RGB jest przekazywany (CyberArk mówi, że prawdopodobnie istnieje wymóg RGB, aby zapobiec podszywaniu się). Bardziej dokładny system prawdopodobnie spowolniłby proces logowania Windows Hello, co może zniweczyć cel niektórych użytkowników.
Zespół CyberArk twierdzi, że hakerzy prawdopodobnie nigdy nie używali tego exploita, co ma sens. Aby to zrobić, haker potrzebuje fizycznego dostępu do komputera z systemem Windows Hello oraz obrazu jego użytkownika w bliskiej podczerwieni. Więc oprócz kradzieży laptopa lub wkradnięcia się do budynku, haker musiałby zrobić Ci zdjęcia w podczerwieni ze stosunkowo niewielkiej odległości.
Żadna z tych rzeczy nie jest niemożliwa i może być stosunkowo łatwa, jeśli Jesteś hakerem z poważną etyką pracy, agentem na liście płac rządowych lub niezadowolonym pracownikiem próbującym oszukać twojego pracodawcę. Ale wciąż jest tu wiele małych przeszkód. Biura, które poważnie podchodzą do kwestii bezpieczeństwa, zwykle ukrywają porty USB komputera stacjonarnego za klatkami, aby na przykład zapobiec osobistym atakom, i możesz mieć problemy z dostępem do poufnych informacji na zabezpieczonym komputerze lub sieci, nawet jeśli ominiesz ekran blokady.
Microsoft ma zidentyfikował ten exploit i twierdzi, że poprawka została wydana 13 lipca (chociaż faktyczne zainstalowanie poprawki może zająć firmom trochę czasu). Firma zwraca również uwagę, że firmy korzystające z funkcji Ulepszone zabezpieczenia logowania Windows Hello są chronione przed wszelkim sprzętem, który nie został wstępnie zatwierdzony przez administratorów systemu — oczywiście, jeśli urządzenia sprzętowe używane przez firmę są niezabezpieczone, Ulepszone logowanie Bezpieczeństwo może zostać naruszone.
CyberArk twierdzi, że przedstawi wszystkie swoje ustalenia dotyczące Windows Hello w Black Hat 2021, która odbędzie się 4 i 5 sierpnia.
Źródło: CyberArk przez Windows Central
