今年5月,微软启动了一项重大举措,向无密码未来迈进,将新账户设置默认为使用密钥和Windows Hello等替代方案。此举是旨在增强安全性并简化用户访问的更广泛趋势的一部分。
然而,德国研究人员蒂尔曼·奥斯瓦尔德(Tillmann Osswald)和巴蒂斯特·戴维博士(Dr. Baptiste David)在拉斯维加斯黑帽大会上展示的最新研究成果,揭露了企业版Windows Hello系统中存在的漏洞。他们的演示展示了一种破坏系统生物识别安全性的方法。
事件发生期间,David 博士成功使用面部识别技术登录了他的设备,而 Osswald 则以拥有本地管理员权限的攻击者身份,利用了一系列命令。他将在另一台计算机上捕获的面部扫描数据注入目标系统的生物识别数据库。令人惊讶的是,攻击者俯身靠近,认出他是 David 博士,设备便毫不犹豫地解锁了。
了解漏洞
问题的核心在于 Windows Hello 业务框架的内部运作。系统初始设置时,会生成一个公钥/私钥对,其中公钥通过组织的身份识别提供商(例如 Entra ID)注册。虽然生物识别数据存储在由 Windows 生物识别服务 (WBS) 管理的加密数据库中,但当前的加密方法有时无法阻止拥有本地管理员权限的攻击者,从而使他们能够解密这些关键数据。
增强登录安全性作为解决方案
为了解决这些漏洞,微软推出了增强登录安全 (ESS)。此功能有效地将生物识别身份验证过程隔离在由系统管理程序管理的安全环境中。然而,ESS 的实现需要特定的硬件:支持硬件虚拟化的现代 64 位 CPU、TPM 2.0 芯片、固件中的安全启动以及经过适当认证的生物识别传感器。
ESS 在阻止此类攻击方面非常有效,但并非每个人都能使用。例如,我们大约一年半前购买了 ThinkPad,但遗憾的是它们没有摄像头安全传感器,因为它们使用的是 AMD 芯片,而不是英特尔芯片。
未来的挑战
尽管 ESS 非常有效,但要全面修复非 ESS 系统中的现有漏洞仍是一项艰巨的挑战。Osswald 和 David 认为,如果不进行彻底的重新设计,就无法修复底层架构问题。因此,使用未启用 ESS 的 Windows Hello 的企业需要考虑彻底禁用生物识别身份验证,转而选择 PIN 码等替代方案。
如何验证 ESS 兼容性
要确定您的系统是否支持 ESS,请前往您的设置,并检查您帐户下的“登录选项”。找到标有“使用外部摄像头或指纹读取器登录”的开关。如果此开关关闭,则 ESS 处于活动状态,这意味着您的 USB 指纹读取器将无法用于登录。打开它会禁用 ESS 功能,允许外部设备运行,但可能会降低安全性。
据微软称,部分兼容 Windows Hello 的外围设备可能会启用 ESS。虽然此功能本身并不存在安全问题,但它会使设备使用变得复杂。微软建议始终保持所有兼容外围设备的连接,预计 ESS 下的外部设备全面支持要到 2025 年底。
发表回复