Sicherheitsforschern von CyberArk ist es gelungen, die Gesichtserkennung von Windows Hello mit einer gefälschten Webcam zu umgehen, die IR-Daten in einen PC pumpt. Der Prozess hinter diesem Exploit ist relativ einfach, obwohl er für den Durchschnittsbürger kein ernsthaftes Problem darstellt, da er James Bond-ähnliche Taktiken erfordert.
Windows Hello überprüft Benutzer mithilfe eines IR-Schnappschusses um eine 3D-Karte ihres Gesichts zu sehen, weshalb Sie das Authentifizierungssystem nicht mit einem gedruckten Foto täuschen können. Sie können jedoch weiterhin das Authentifizierungssystem von Windows Hello mit “gültig” Bilder von einem USB-Gerät, solange es vorgibt, eine Kamera mit IR- und RGB-Sensoren zu sein.
Das CyberArk-Team stellte fest, dass Windows Hello ein einzelnes IR- und RGB-Bild erfordert, um einen Benutzer zu überprüfen. Also luden sie ihr USB-Gerät mit einer gültigen IR-Messung des Gesichts eines Windows-Benutzers sowie einem RGB-Bild von Spongebob. Das an einen gesperrten PC angeschlossene USB-Gerät hat Windows Hello erfolgreich durchbrochen.
Anscheinend überprüft Windows Hello nicht, ob IR-Bilder von einem Live-Feed stammen, und überprüft auch nicht den Inhalt eines beliebigen RGB-Bildes es wird übergeben (CyberArk sagt, dass RGB-Anforderungen wahrscheinlich existieren, um Spoofing zu verhindern). Ein gründlicheres System würde wahrscheinlich den Windows Hello-Anmeldevorgang verlangsamen, was für einige Benutzer den Zweck verfehlen könnte.
Das Team von CyberArk sagt, dass Hacker diesen Exploit wahrscheinlich noch nie genutzt haben, was sinnvoll ist. Um dies zu erreichen, benötigt ein Hacker physischen Zugriff auf einen PC, auf dem Windows Hello ausgeführt wird, sowie ein Nah-IR-Bild seines Benutzers. Der Hacker müsste also nicht nur einen Laptop stehlen oder sich in ein Gebäude einschleichen, sondern aus relativ kurzer Entfernung IR-Fotos von Ihnen machen.
Nichts davon ist unmöglich, und es kann relativ einfach sein, wenn Sie ein Hacker mit einer ernsthaften Arbeitsmoral, ein Agent auf der Gehaltsliste der Regierung oder ein verärgerter Angestellter sind, der versucht, Ihren Arbeitgeber zu verarschen. Aber hier gibt es noch viele kleine Hürden. Büros, die es mit Sicherheit ernst meinen, neigen dazu, Desktop-USB-Anschlüsse hinter Käfigen zu verstecken, um beispielsweise persönliche Angriffe zu verhindern, und Sie haben möglicherweise Probleme, auf einem gesicherten Computer oder Netzwerk auf sensible Daten zuzugreifen, selbst wenn Sie einen Sperrbildschirm umgehen.
< p>Microsoft hat diesen Exploit identifiziert und sagt, dass ein Patch am 13. Juli veröffentlicht wurde (obwohl es eine Weile dauern kann, bis Unternehmen den Patch tatsächlich installieren). Das Unternehmen weist auch darauf hin, dass Unternehmen, die Windows Hello Enhanced Sign-in Security verwenden, vor jeglicher Hardware geschützt sind, die nicht von ihren Systemadministratoren vorab genehmigt wurde, natürlich, wenn die von einem Unternehmen verwendeten Hardwaregeräte unsicher sind, Die verbesserte Anmeldesicherheit könnte kompromittiert werden.
CyberArk sagt, dass es alle seine Windows Hello-Ergebnisse auf der Black Hat 2021 präsentieren wird, die am 4. und 5. August stattfindet.
Quelle: CyberArk über Windows-Zentrale