Tutkijat onnistuivat ohittamaan Windows Hellon yhdellä laitteistolla
Microsoft
CyberArkin tietoturvatutkijat onnistuivat ohittamaan Windows Hello -kasvojentunnistuksen käyttämällä väärennettyä verkkokameraa, joka pumppaa infrapunatiedot tietokoneeseen. Tämän hyväksikäytön taustalla oleva prosessi on suhteellisen yksinkertainen, vaikka se ei ole vakava huolenaihe keskivertoihmiselle, koska se vaatii James Bond -tyyppistä taktiikkaa.
Windows Hello varmistaa, että käyttäjät näkevät kasvonsa 3D-kartan infrapunavedolla, minkä vuoksi todennusjärjestelmää ei voi huijata tulostetulla valokuvalla. Voit silti syöttää Windows Hello -todennusjärjestelmän "kelvollisia" kuvia USB-laitteesta, kunhan se teeskentelee olevansa kamera, jossa on IR- ja RGB-anturi.
CyberArk-tiimi havaitsi, että Windows Hello vaatii yhden IR- ja RGB-kuvan käyttäjän vahvistamiseksi. Joten he ladasivat USB-laitteelleen kelvollisen IR-lukeman Windows-käyttäjän kasvoista sekä RGB-kuvan Paavosta. Lukittuun tietokoneeseen kytketty USB-laite mursi Windows Hellon.
Ilmeisesti Windows Hello ei varmista, että IR-kuvat ovat peräisin live-syötteestä, eikä se tarkista minkä tahansa sen RGB-kuvan sisältöä (CyberArk sanoo, että RGB-vaatimus on luultavasti olemassa huijauksen estämiseksi). Perusteellisempi järjestelmä todennäköisesti hidastaisi Windows Hello -kirjautumisprosessia, mikä saattaa epäonnistua joidenkin käyttäjien kohdalla.
CyberArkin tiimi sanoo, että hakkerit eivät todennäköisesti ole koskaan käyttäneet tätä hyväksikäyttöä, mikä on järkevää. Jotta tämä onnistuisi, hakkeri tarvitsee fyysisen pääsyn tietokoneeseen, jossa on Windows Hello, sekä lähes IR-kuvan käyttäjästä. Joten sen lisäksi, että hakkeri varastaa kannettavan tietokoneen tai livahtaa rakennukseen, hänen on otettava sinusta infrapunakuvia suhteellisen lyhyeltä etäisyydeltä.
Mikään näistä ei ole mahdotonta, ja se voi olla suhteellisen helppoa, jos olet hakkeri, jolla on vakava työmoraali, valtion palkkalistoilla oleva agentti tai tyytymätön työntekijä, joka yrittää kiusata työnantajaasi. Mutta tässä on vielä paljon pieniä esteitä. Toimistot, jotka suhtautuvat vakavasti turvallisuuteen, piilottavat työpöydän USB-portit häkkien taakse esimerkiksi henkilökohtaisten hyökkäysten estämiseksi, ja sinulla voi olla vaikeuksia päästä käsiksi arkaluonteisiin tietoihin suojatussa tietokoneessa tai verkossa, vaikka ohittaisit lukitusnäytön.
Microsoft on tunnistanut tämän hyväksikäytön ja sanoo, että korjaustiedosto julkaistiin heinäkuun 13. päivänä (vaikka yrityksillä saattaa kestää hetken ennen kuin korjaustiedosto asennetaan). Yritys huomauttaa myös, että Windows Hello Enhanced Sign-in Security -suojausta käyttävät yritykset on suojattu kaikilta laitteistoilta, joita niiden järjestelmänvalvojat eivät ole etukäteen hyväksyneet – tietysti, jos yrityksen käyttämät laitteistot ovat turvattomia, Enhanced Sign-in. Turvallisuus voi vaarantua.
CyberArk kertoo esittelevänsä kaikki Windows Hello -löytönsä Black Hat 2021 -tapahtumassa, joka järjestetään 4. ja 5. elokuuta.
Lähde: CyberArk Windows Centralin kautta