🧑 💻 We schrijven artikelen over gadgets, computers, auto's, spelletjes en hobby's. Nuttige recensies over de meest interessante
AllerleiAnwendungenComputers

Forschern gelang es, Windows Hello mit einem Stück Hardware zu umgehen

4

Microsoft

Sicherheitsforschern von CyberArk ist es gelungen, die Windows Hello-Gesichtserkennung mit einer gefälschten Webcam zu umgehen, die IR-Daten in einen PC pumpt. Der Prozess hinter diesem Exploit ist relativ einfach, obwohl er für den Durchschnittsbürger kein ernsthaftes Problem darstellt, da er James-Bond-ähnliche Taktiken erfordert, um durchzukommen.

Windows Hello verifiziert Benutzer mithilfe eines IR-Schnappschusses, um eine 3D-Karte ihres Gesichts zu sehen, weshalb Sie das Authentifizierungssystem nicht mit einem gedruckten Foto täuschen können. Aber Sie können das Windows Hello-Authentifizierungssystem immer noch mit „gültigen” Bildern von einem USB-Gerät füttern, solange es vorgibt, eine Kamera mit IR- und RGB-Sensoren zu sein.

Das CyberArk-Team stellte fest, dass Windows Hello ein einzelnes IR- und RGB-Bild benötigt, um einen Benutzer zu verifizieren. Also luden sie ihr USB-Gerät mit einem gültigen IR-Messwert des Gesichts eines Windows-Benutzers sowie einem RGB-Bild von Spongebob. Das an einen gesperrten PC angeschlossene USB-Gerät hat Windows Hello erfolgreich durchbrochen.

Offensichtlich überprüft Windows Hello nicht, ob IR-Bilder von einem Live-Feed stammen, und es überprüft nicht den Inhalt des übergebenen RGB-Bildes (CyberArk sagt, dass es wahrscheinlich eine RGB-Anforderung gibt, um Spoofing zu verhindern). Ein gründlicheres System würde wahrscheinlich den Windows Hello-Anmeldeprozess verlangsamen, was für einige Benutzer den Zweck zunichte machen könnte.

Das Team von CyberArk sagt, dass Hacker diesen Exploit wahrscheinlich noch nie benutzt haben, was Sinn macht. Um dies durchzuziehen, benötigt ein Hacker physischen Zugriff auf einen PC, auf dem Windows Hello ausgeführt wird, sowie ein Nah-IR-Bild seines Benutzers. Der Hacker müsste also nicht nur einen Laptop stehlen oder sich in ein Gebäude schleichen, sondern auch IR-Fotos von Ihnen aus relativ kurzer Entfernung machen.

Nichts davon ist unmöglich, und es kann relativ einfach sein, wenn Sie ein Hacker mit einer ernsthaften Arbeitsmoral, ein Agent auf der Gehaltsliste der Regierung oder ein verärgerter Angestellter sind, der versucht, Ihren Arbeitgeber zu betrügen. Hier gibt es aber noch viele kleine Hürden. Büros, die es mit Sicherheit ernst meinen, neigen dazu, Desktop-USB-Anschlüsse hinter Käfigen zu verstecken, um beispielsweise persönliche Angriffe zu verhindern, und Sie haben möglicherweise Probleme, auf vertrauliche Daten auf einem gesicherten Computer oder Netzwerk zuzugreifen, selbst wenn Sie einen Sperrbildschirm umgehen.

Microsoft hat diesen Exploit identifiziert und sagt, dass am 13. Juli ein Patch veröffentlicht wurde (obwohl es eine Weile dauern kann, bis Unternehmen den Patch tatsächlich installieren). Das Unternehmen weist auch darauf hin, dass Unternehmen, die Windows Hello Enhanced Sign-in Security verwenden, vor jeglicher Hardware geschützt sind, die nicht von ihren Systemadministratoren vorab genehmigt wurde – natürlich, wenn die von einem Unternehmen verwendeten Hardwaregeräte unsicher sind, Enhanced Sign-in Die Sicherheit könnte beeinträchtigt werden.

CyberArk sagt, dass es alle seine Windows Hello-Ergebnisse auf der Black Hat 2021 präsentieren wird, die am 4. und 5. August stattfindet.

Quelle: CyberArk über Windows Central

Aufnahmequelle: www.reviewgeek.com
Das könnte dir auch gefallen Mehr vom Autor

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen