I ricercatori di sicurezza di CyberArk sono riusciti a bypassare il riconoscimento facciale di Windows Hello utilizzando una webcam falsa che invia dati IR a un PC. Il processo alla base di questo exploit è relativamente semplice, sebbene non sia una seria preoccupazione per la persona media, poiché richiede tattiche simili a James Bond per ottenere risultati.
Windows Hello verifica gli utenti utilizzando un'istantanea IR per vedere una mappa 3D del loro volto, motivo per cui non puoi ingannare il sistema di autenticazione con una foto stampata. Ma puoi ancora alimentare il sistema di autenticazione di Windows Hello con “valid” immagini da un dispositivo USB, purché finga di essere una fotocamera con sensori IR e RGB.
Il team di CyberArk ha scoperto che Windows Hello richiede una singola immagine IR e RGB per verificare un utente. Quindi, hanno caricato il loro dispositivo USB con una lettura IR valida del volto di un utente Windows, oltre a un'immagine RGB di Spongebob. Il dispositivo USB, collegato a un PC bloccato, è riuscito a violare Windows Hello.
Evidentemente, Windows Hello non verifica che le immagini IR provengano da un feed live e non controlla il contenuto di qualsiasi immagine RGB è passato (CyberArk afferma che probabilmente esiste un requisito RGB per prevenire lo spoofing). Un sistema più completo probabilmente rallenterebbe il processo di accesso a Windows Hello, il che potrebbe vanificare lo scopo per alcuni utenti.
Il team di CyberArk afferma che gli hacker probabilmente non hanno mai usato questo exploit, il che ha senso. Per riuscirci, un hacker ha bisogno dell'accesso fisico a un PC che esegue Windows Hello, oltre a un'immagine quasi IR del suo utente. Quindi, oltre a rubare un laptop o intrufolarsi in un edificio, l'hacker dovrebbe scattarti foto IR a una distanza relativamente breve.
Niente di tutto questo è impossibile e potrebbe essere relativamente facile se sei un hacker con una seria etica del lavoro, un agente sul libro paga del governo o un dipendente scontento che cerca di fregare il tuo datore di lavoro. Ma ci sono ancora molti piccoli ostacoli qui. Gli uffici che si occupano seriamente della sicurezza tendono a nascondere le porte USB del desktop dietro le gabbie per prevenire attacchi di persona, ad esempio, e potresti avere problemi ad accedere ai dati sensibili su un computer o una rete protetti anche se ignori una schermata di blocco.
< p>Microsoft ha identificato questo exploit e afferma che una patch è stata rilasciata il 13 luglio (anche se potrebbe essere necessario un po' di tempo prima che le aziende installino effettivamente la patch). L'azienda sottolinea inoltre che le aziende che utilizzano Windows Hello Enhanced Sign-in Security sono protette da qualsiasi hardware che non sia pre-approvato dai loro amministratori di sistema, naturalmente, se i dispositivi hardware utilizzati da un'azienda non sono sicuri, La sicurezza di accesso avanzata potrebbe essere compromessa.
CyberArk afferma che presenterà tutte le sue scoperte su Windows Hello al Black Hat 2021, che si terrà il 4 e 5 agosto.
Fonte: CyberArk tramite Windows Central