So umgehen Hacker die Windows Hello-Authentifizierung, um auf Ihren PC zuzugreifen

Im Mai leitete Microsoft einen bedeutenden Wandel hin zu einer passwortlosen Zukunft ein, indem neue Kontokonfigurationen standardmäßig Alternativen wie Passkeys und Windows Hello nutzen. Dieser Schritt ist Teil eines breiteren Trends, der die Sicherheit erhöhen und gleichzeitig den Benutzerzugriff vereinfachen soll.

Jüngste Erkenntnisse der deutschen Forscher Tillmann Osswald und Dr. Baptiste David, die auf der Black Hat-Konferenz in Las Vegas vorgestellt wurden, haben jedoch Schwachstellen in der Business-Version von Windows Hello aufgedeckt. Ihre Demonstration veranschaulichte eine Methode, die biometrische Sicherheit des Systems zu kompromittieren.

Während des Vorfalls meldete sich Dr. David erfolgreich per Gesichtserkennung auf seinem Gerät an. Osswald, ein Angreifer mit lokalen Administratorrechten, nutzte jedoch eine Reihe von Befehlen aus. Er injizierte einen auf einem anderen Computer erfassten Gesichtsscan in die biometrische Datenbank des Zielsystems. Erstaunlicherweise entsperrte sich das Gerät sofort, als sich der Angreifer vorbeugte und ihn als Dr. David erkannte.

Die Sicherheitslücke verstehen

Der Kern des Problems liegt in der internen Funktionsweise des Business-Frameworks von Windows Hello. Bei der Ersteinrichtung des Systems wird ein öffentliches/privates Schlüsselpaar generiert, wobei der öffentliche Schlüssel über den ID-Anbieter einer Organisation wie Entra ID registriert wird. Während biometrische Daten in einer verschlüsselten Datenbank gespeichert werden, die vom Windows Biometric Service (WBS) verwaltet wird, können die aktuellen Verschlüsselungsmethoden Angreifer mit lokalen Administratorrechten manchmal nicht abwehren, sodass diese kritischen Daten nicht entschlüsselt werden können.

Verbesserte Anmeldesicherheit als Lösung

Um diese Schwachstellen zu beheben, hat Microsoft die Enhanced Sign-in Security (ESS) eingeführt. Diese Funktion isoliert den biometrischen Authentifizierungsprozess effektiv innerhalb einer sicheren Umgebung, die vom Hypervisor des Systems verwaltet wird. Die Implementierung von ESS erfordert jedoch spezielle Hardware: eine moderne 64-Bit-CPU mit Hardwarevirtualisierung, einen TPM 2.0-Chip, Secure Boot in der Firmware und entsprechend zertifizierte biometrische Sensoren.

ESS blockiert diesen Angriff sehr effektiv, kann ihn aber nicht jeder nutzen. Wir haben uns beispielsweise vor etwa anderthalb Jahren ThinkPads gekauft, die leider keinen sicheren Sensor für die Kamera haben, da sie AMD-Chips und keine Intel-Chips verwenden.

Die bevorstehende Herausforderung

Trotz der Effektivität von ESS stellt ein umfassender Patch für die bestehenden Schwachstellen in Nicht-ESS-Systemen eine erhebliche Herausforderung dar. Laut Osswald und David ist eine Behebung der zugrunde liegenden Architekturprobleme ohne eine vollständige Neugestaltung nicht möglich. Unternehmen, die Windows Hello ohne ESS nutzen, sollten daher die biometrische Authentifizierung vollständig deaktivieren und stattdessen auf Alternativen wie eine PIN zurückgreifen.

So überprüfen Sie die ESS-Kompatibilität

Um festzustellen, ob Ihr System ESS unterstützt, öffnen Sie Ihre Einstellungen und überprüfen Sie die Anmeldeoptionen unter Ihrem Konto. Suchen Sie nach einem Schalter mit der Bezeichnung „Mit externer Kamera oder Fingerabdruckleser anmelden“.Ist dieser Schalter deaktiviert, ist ESS aktiv, d.h. Ihr USB-Fingerabdruckleser funktioniert nicht für die Anmeldung. Ist er aktiviert, wird die ESS-Funktion deaktiviert, sodass externe Geräte weiterhin funktionieren, allerdings mit dem Risiko einer verringerten Sicherheit.

Screenshot der Einstellungen – ESS-Schalter deaktivieren — Bild: Microsoft

Laut Microsoft können einige mit Windows Hello kompatible Peripheriegeräte ESS unterstützen. Diese Funktion stellt zwar kein Sicherheitsrisiko dar, erschwert aber die Gerätenutzung. Microsoft empfiehlt, kompatible Peripheriegeräte stets angeschlossen zu lassen. Die vollständige Unterstützung externer Geräte unter ESS wird voraussichtlich erst Ende 2025 erfolgen.

Quelle & Bilder