...
🧑 💻 Vi skriver artiklar om prylar, datorer, bilar, spel och hobbyer. Användbara recensioner om de mest intressanta
DiverseApplikationerApplikationer

Forskare lyckades kringgå Windows Hello med One Piece of Hardware

3

Microsoft

Säkerhetsforskare på CyberArk lyckades kringgå Windows Hello ansiktsigenkänning med hjälp av en falsk webbkamera som pumpar in IR-data till en PC. Processen bakom detta utnyttjande är relativt enkel, även om det inte är ett allvarligt bekymmer för den genomsnittliga personen, eftersom det kräver James Bond-liknande taktik för att genomföra.

Windows Hello verifierar användare med hjälp av en IR-ögonblicksbild för att se en 3D-karta av deras ansikte, vilket är anledningen till att du inte kan lura autentiseringssystemet med ett utskrivet foto. Men du kan fortfarande mata Windows Hello-autentiseringssystem "giltiga" bilder från en USB-enhet, så länge det utger sig för att vara en kamera med IR- och RGB-sensorer.

CyberArk-teamet upptäckte att Windows Hello kräver en enda IR- och RGB-bild för att verifiera en användare. Så de laddade sin USB-enhet med en giltig IR-avläsning av en Windows-användares ansikte, plus en RGB-bild av Spongebob. USB-enheten, ansluten till en låst dator, bröt igenom Windows Hello.

Uppenbarligen verifierar inte Windows Hello att IR-bilder kommer från ett liveflöde, och det kontrollerar inte innehållet i vilken RGB-bild den överlämnas (CyberArk säger att RGB-kravet förmodligen finns för att förhindra spoofing). Ett mer grundligt system skulle förmodligen sakta ner Windows Hello-inloggningsprocessen, vilket kan motverka syftet för vissa användare.

Teamet på CyberArk säger att hackare förmodligen aldrig har använt denna exploatering, vilket är vettigt. För att klara av detta behöver en hackare fysisk tillgång till en PC som kör Windows Hello, plus en nära-IR-bild av användaren. Så utöver att stjäla en bärbar dator eller smyga in i en byggnad, skulle hackaren behöva ta IR-bilder av dig på relativt kort avstånd.

Inget av detta är omöjligt, och det kan vara relativt enkelt om du är en hacker med en seriös arbetsmoral, en agent på statlig lönelista eller en missnöjd anställd som försöker smutskasta din arbetsgivare. Men det finns fortfarande många små hinder här. Kontor som menar allvar med säkerhet tenderar att gömma skrivbordets USB-portar bakom burar för att förhindra personliga attacker, till exempel, och du kan ha problem med att komma åt känsliga på en säker dator eller nätverk även om du kringgår en låsskärm.

Microsoft har identifierat detta utnyttjande och säger att en patch släpptes den 13 juli (även om det kan ta ett tag för företag att faktiskt installera patchen). Företaget påpekar också att företag som använder Windows Hello Enhanced Sign-in Security är skyddade mot all hårdvara som inte är förgodkänd av deras systemadministratörer – naturligtvis, om hårdvaruenheterna som används av ett företag är osäkra, förbättrad inloggning Säkerheten kan äventyras.

CyberArk säger att det kommer att presentera alla sina Windows Hello-resultat på Black Hat 2021, som körs 4 och 5 augusti.

Källa: CyberArk via Windows Central

Inspelningskälla: www.reviewgeek.com
Du kanske också gillar Mer från författaren

Denna webbplats använder cookies för att förbättra din upplevelse. Vi antar att du är ok med detta, men du kan välja bort det om du vill. Jag accepterar Fler detaljer