Säkerhetsforskare på CyberArk lyckades kringgå Windows Hello ansiktsigenkänning med en falsk webbkamera som pumpar IR-data till en dator. Processen bakom detta utnyttjande är relativt enkel, även om det inte är ett allvarligt bekymmer för den genomsnittliga personen, eftersom det kräver att James Bond-liknande taktik tar slut.
Windows Hello verifierar användare med en IR-ögonblicksbild för att se en 3D-karta över deras ansikte, varför du inte kan lura autentiseringssystemet med ett tryckt foto. Men du kan fortfarande mata Windows Hello-autentiseringssystem & # 8220; giltigt & # 8221; bilder från en USB-enhet, så länge den låtsas vara en kamera med IR- och RGB-sensorer.
CyberArk-teamet fann att Windows Hello kräver en enda IR- och RGB-bild för att verifiera en användare. Så de laddade sin USB-enhet med en giltig IR-avläsning av en Windows-användares ansikte, plus en RGB-bild av Spongebob. USB-enheten, ansluten till en låst dator, slog framgångsrikt igenom Windows Hello.
Uppenbarligen verifierar Windows Hello inte att IR-bilder kommer från ett live-flöde och det kontrollerar inte innehållet i vilken RGB-bild som helst det är överlämnat (CyberArk säger att RGB-krav troligen finns för att förhindra förfalskning). Ett mer grundligt system skulle förmodligen sakta in Windows-inloggningsprocessen, vilket kan försämra syftet för vissa användare.
Teamet på CyberArk säger att hackare förmodligen aldrig har använt det här utnyttjandet, vilket är vettigt. För att få bort detta behöver en hackare fysisk åtkomst till en dator som kör Windows Hello, plus en nästan IR-bild av användaren. Förutom att stjäla en bärbar dator eller smyga in i en byggnad, skulle hackaren behöva ta IR-bilder av dig på relativt kort avstånd.
Inget av detta är omöjligt, och det kan vara relativt enkelt om du är en hackare med en seriös arbetsmoral, en agent på statens löner eller en missnöjd anställd som försöker knuffa över din arbetsgivare. Men det finns fortfarande många små hinder här. Kontor som är allvarliga med säkerhet tenderar att dölja USB-portar på skrivbordet bakom burar för att förhindra personliga attacker, till exempel, och du kan ha problem med att komma åt känsliga på en säker dator eller nätverk även om du kringgår en låsskärm.
< p> Microsoft har identifierat denna exploatering och säger att en korrigeringsfil släpptes den 13 juli (även om det kan ta ett tag för företag att faktiskt installera korrigeringsfilen). Företaget påpekar också att företag som använder Windows Hello Enhanced Sign-in Security är skyddade mot all hårdvara som inte förhand är godkänd av deras systemadministratörer, naturligtvis, om hårdvaruenheterna som används av ett företag är osäkra, Förbättrad inloggningssäkerhet kan äventyras.
CyberArk säger att de kommer att presentera alla sina Windows Hello-resultat på Black Hat 2021, som löper 4 och 5 augusti.
Källa: CyberArk via Windows Central