Beveiligingsonderzoekers van CyberArk slaagden erin de gezichtsherkenning van Windows Hello te omzeilen met behulp van een nepwebcam die IR-gegevens in een pc pompt. Het proces achter deze exploit is relatief eenvoudig, hoewel het voor de gemiddelde persoon geen serieuze zorg is, omdat het James Bond-achtige tactieken vereist om te slagen.
Windows Hello verifieert gebruikers met behulp van een IR-snapshot om een 3D-kaart van hun gezicht te zien, daarom kun je het authenticatiesysteem niet voor de gek houden met een afgedrukte foto. Maar je kunt nog steeds het Windows Hello-authenticatiesysteem “geldig” beelden van een USB-apparaat, zolang het zich voordoet als een camera met IR- en RGB-sensoren.
Het CyberArk-team ontdekte dat Windows Hello een enkele IR- en RGB-afbeelding nodig heeft om een gebruiker te verifiëren. Dus laadden ze hun USB-apparaat met een geldige IR-uitlezing van het gezicht van een Windows-gebruiker, plus een RGB-afbeelding van Spongebob. Het USB-apparaat, aangesloten op een vergrendelde pc, heeft Windows Hello met succes doorbroken.
Het is duidelijk dat Windows Hello niet verifieert of IR-beelden afkomstig zijn van een live feed en de inhoud van een RGB-afbeelding niet controleert. het is overhandigd (CyberArk zegt dat RGB-vereiste waarschijnlijk bestaat om spoofing te voorkomen). Een grondiger systeem zou het aanmeldingsproces van Windows Hello waarschijnlijk vertragen, wat voor sommige gebruikers het doel teniet zou kunnen doen.
Het team van CyberArk zegt dat hackers deze exploit waarschijnlijk nog nooit hebben gebruikt, wat logisch is. Om dit voor elkaar te krijgen, heeft een hacker fysieke toegang nodig tot een pc waarop Windows Hello draait, plus een bijna-IR-afbeelding van de gebruiker. Dus naast het stelen van een laptop of het sluipen in een gebouw, moet de hacker ook IR-foto's van je maken op relatief korte afstand.
Niets van dit alles is onmogelijk, en het kan relatief eenvoudig zijn als u een hacker bent met een serieuze arbeidsethos, een agent op de loonlijst van de overheid of een ontevreden werknemer die probeert uw werkgever te belazeren. Maar er zijn hier nog veel kleine hindernissen. Kantoren die veiligheid serieus nemen, hebben de neiging om desktop-USB-poorten achter kooien te verbergen om bijvoorbeeld persoonlijke aanvallen te voorkomen, en u kunt problemen hebben om toegang te krijgen tot gevoelige gegevens op een beveiligde computer of netwerk, zelfs als u een vergrendelscherm omzeilt.
< p>Microsoft heeft deze exploit geïdentificeerd en zegt dat er op 13 juli een patch is uitgebracht (hoewel het even kan duren voordat bedrijven de patch daadwerkelijk hebben geïnstalleerd). Het bedrijf wijst er ook op dat bedrijven die Windows Hello Enhanced Sign-in Security gebruiken, worden beschermd tegen hardware die niet vooraf is goedgekeurd door hun systeembeheerders, natuurlijk, als de hardwareapparaten die door een bedrijf worden gebruikt onveilig zijn, Verbeterde aanmeldingsbeveiliging kan in gevaar komen.
CyberArk zegt dat het al zijn Windows Hello-bevindingen zal presenteren op Black Hat 2021, dat op 4 en 5 augustus plaatsvindt.
Bron: CyberArk via Windows Centraal