Microsoft
Дослідникам безпеки в CyberArk вдалося обійти розпізнавання обличчя Windows Hello за допомогою підробленої веб-камери, яка перекачує ІЧ-дані в ПК. Процес, що стоїть за цим експлойтом, відносно простий, хоча для звичайної людини він не викликає серйозного занепокоєння, оскільки для його реалізації потрібна тактика, подібна до Джеймса Бонда.
Windows Hello перевіряє користувачів за допомогою інфрачервоного знімка, щоб побачити 3D-карту свого обличчя, тому ви не можете обдурити систему автентифікації за допомогою надрукованої фотографії. Але ви все одно можете передати системі автентифікації Windows Hello «дійсні» зображення з USB-пристрою, якщо він видає себе за камеру з ІЧ- та RGB-датчиками.
Команда CyberArk виявила, що для перевірки користувача Windows Hello потрібне одне зображення IR та RGB. Таким чином, вони завантажили свій USB-пристрій дійсним ІЧ-зчитуванням обличчя користувача Windows, а також RGB-зображенням Губки Боба. USB-пристрій, підключений до заблокованого ПК, успішно зламав Windows Hello.
Очевидно, Windows Hello не перевіряє, що ІЧ-зображення отримані з живої стрічки, і не перевіряє вміст будь-якого переданого RGB-зображення (CyberArk стверджує, що вимога RGB, ймовірно, існує для запобігання спуфінгу). Більш ретельна система, ймовірно, сповільнить процес входу в Windows Hello, що може порушити ціль для деяких користувачів.
Команда CyberArk каже, що хакери, ймовірно, ніколи не використовували цей експлойт, що має сенс. Для цього хакеру потрібен фізичний доступ до комп’ютера під керуванням Windows Hello, а також зображення користувача в близькому інфрачервоному діапазоні. Таким чином, окрім крадіжки ноутбука або проникнення в будівлю, хакеру потрібно буде зробити ІЧ-фотографії вас на відносно невеликій відстані.
Все це неможливо, і це може бути відносно легко, якщо ви хакер із серйозною трудовою етикою, агент із державного нарахування заробітної плати або незадоволений працівник, який намагається обдурити вашого роботодавця. Але тут ще багато дрібних перешкод. Офіси, які серйозно ставляться до безпеки, як правило, приховують порти USB на робочому столі за клітками, наприклад, щоб запобігти особистим атакам, і у вас можуть виникнути проблеми з доступом до конфіденційних даних на захищеному комп’ютері або мережі, навіть якщо ви обійдете екран блокування.
Microsoft виявила цей експлойт і каже, що виправлення було випущено 13 липня (хоча компаніям може знадобитися деякий час, щоб насправді встановити виправлення). Компанія також зазначає, що компанії, які використовують покращену безпеку входу в Windows Hello, захищені від будь-якого обладнання, яке не було попередньо схвалено їхніми системними адміністраторами — звичайно, якщо апаратні пристрої, якими користується компанія, є незахищеними, розширений вхід Безпека може бути порушена.
CyberArk стверджує, що представить усі свої висновки Windows Hello на Black Hat 2021, який відбудеться 4 та 5 серпня.
Джерело: CyberArk через Windows Central