Microsoft<\/p>\n
Badaczom bezpiecze\u0144stwa z CyberArk<\/a> uda\u0142o si\u0119 omin\u0105\u0107 rozpoznawanie twarzy Windows Hello za pomoc\u0105 fa\u0142szywej kamery internetowej, kt\u00f3ra pompuje dane w podczerwieni do komputera. Proces kryj\u0105cy si\u0119 za tym exploitem jest stosunkowo prosty, chocia\u017c nie stanowi powa\u017cnego problemu dla przeci\u0119tnego cz\u0142owieka, poniewa\u017c wymaga taktyki podobnej do Jamesa Bonda.<\/p>\n Windows Hello weryfikuje u\u017cytkownik\u00f3w za pomoc\u0105 migawki w podczerwieni,<\/a> aby zobaczy\u0107 tr\u00f3jwymiarow\u0105 map\u0119 ich twarzy, dlatego nie mo\u017cna oszuka\u0107 systemu uwierzytelniania wydrukowanym zdj\u0119ciem. Ale nadal mo\u017cesz przesy\u0142a\u0107 \u201eprawid\u0142owe" obrazy do systemu uwierzytelniania Windows Hello z urz\u0105dzenia USB, o ile udaje ono kamer\u0119 z czujnikami podczerwieni i RGB.<\/p>\n Zesp\u00f3\u0142 CyberArk odkry\u0142, \u017ce Windows Hello wymaga jednego obrazu IR i RGB do weryfikacji u\u017cytkownika. Wi\u0119c za\u0142adowali swoje urz\u0105dzenie USB z prawid\u0142owym odczytem IR twarzy u\u017cytkownika systemu Windows oraz obrazem RGB Spongeboba. Urz\u0105dzenie USB pod\u0142\u0105czone do zablokowanego komputera z powodzeniem przebi\u0142o si\u0119 przez Windows Hello.<\/p>\n Widocznie funkcja Windows Hello nie weryfikuje, czy obrazy w podczerwieni pochodz\u0105 z przekazu na \u017cywo, ani nie sprawdza zawarto\u015bci przekazywanego obrazu RGB (CyberArk twierdzi, \u017ce prawdopodobnie istnieje wym\u00f3g RGB, aby zapobiec podszywaniu si\u0119). Dok\u0142adniejszy system prawdopodobnie spowolni\u0142by proces logowania Windows Hello, co mo\u017ce zniweczy\u0107 cel dla niekt\u00f3rych u\u017cytkownik\u00f3w.<\/p>\n Zesp\u00f3\u0142 CyberArk twierdzi, \u017ce hakerzy prawdopodobnie nigdy nie wykorzystali tego exploita, co ma sens. Aby to osi\u0105gn\u0105\u0107, haker potrzebuje fizycznego dost\u0119pu do komputera z systemem Windows Hello oraz obrazu swojego u\u017cytkownika w bliskiej podczerwieni. Tak wi\u0119c opr\u00f3cz kradzie\u017cy laptopa lub wkradni\u0119cia si\u0119 do budynku haker musia\u0142by zrobi\u0107 Ci zdj\u0119cia w podczerwieni ze stosunkowo niewielkiej odleg\u0142o\u015bci.<\/p>\n Nic z tego nie jest niemo\u017cliwe i mo\u017ce by\u0107 stosunkowo \u0142atwe, je\u015bli jeste\u015b hakerem z powa\u017cn\u0105 etyk\u0105 pracy, agentem na li\u015bcie p\u0142ac rz\u0105dowych lub niezadowolonym pracownikiem pr\u00f3buj\u0105cym oszuka\u0107 swojego pracodawc\u0119. Ale wci\u0105\u017c jest tu wiele ma\u0142ych przeszk\u00f3d. Biura, kt\u00f3re powa\u017cnie podchodz\u0105 do kwestii bezpiecze\u0144stwa, zwykle ukrywaj\u0105 porty USB komputera stacjonarnego za klatkami, aby na przyk\u0142ad zapobiec osobistym atakom, i mo\u017cesz mie\u0107 problemy z dost\u0119pem do poufnych informacji na zabezpieczonym komputerze lub sieci, nawet je\u015bli ominiesz ekran blokady.<\/p>\n Microsoft zidentyfikowa\u0142<\/a> tego exploita i twierdzi, \u017ce \u0142atka zosta\u0142a wydana 13 lipca (chocia\u017c mo\u017ce to troch\u0119 potrwa\u0107, zanim firmy faktycznie zainstaluj\u0105 \u0142at\u0119). Firma zwraca r\u00f3wnie\u017c uwag\u0119, \u017ce firmy korzystaj\u0105ce z funkcji Ulepszone zabezpieczenia logowania Windows Hello s\u0105 chronione przed wszelkim sprz\u0119tem, kt\u00f3ry nie zosta\u0142 wst\u0119pnie zatwierdzony przez administrator\u00f3w systemu \u2014 oczywi\u015bcie, je\u015bli urz\u0105dzenia sprz\u0119towe u\u017cywane przez firm\u0119 s\u0105 niezabezpieczone, Ulepszone logowanie Bezpiecze\u0144stwo mo\u017ce zosta\u0107 naruszone.<\/p>\n CyberArk zapowiada, \u017ce \u200b\u200bzaprezentuje wszystkie swoje wyniki Windows Hello na Black Hat 2021<\/a>, kt\u00f3ry odb\u0119dzie si\u0119 4 i 5 sierpnia.<\/p>\n \u0179r\u00f3d\u0142o: CyberArk<\/a> za po\u015brednictwem Windows Central<\/a><\/p>\n