Come gli hacker aggirano l’autenticazione di Windows Hello per accedere al tuo PC

Immagine tramite Microsoft

A maggio, Microsoft ha avviato un significativo cambiamento verso un futuro senza password, impostando di default le nuove configurazioni degli account in modo che utilizzino alternative come passkey e Windows Hello. Questa iniziativa rientra in una tendenza più ampia volta a migliorare la sicurezza semplificando al contempo l’accesso degli utenti.

Tuttavia, recenti scoperte dei ricercatori tedeschi Tillmann Osswald e del Dott. Baptiste David, presentate alla conferenza Black Hat di Las Vegas, hanno svelato vulnerabilità nella versione business di Windows Hello. La loro dimostrazione ha illustrato un metodo per compromettere la sicurezza biometrica del sistema.

Durante l’evento, il Dr. David è riuscito ad accedere al suo dispositivo utilizzando il riconoscimento facciale, ma Osswald, agendo come un aggressore con privilegi di amministratore locale, ha sfruttato una serie di comandi. Ha inserito una scansione facciale acquisita da un altro computer nel database biometrico del sistema di destinazione. Sorprendentemente, il dispositivo si è sbloccato senza esitazione non appena l’aggressore si è avvicinato, riconoscendolo come il Dr. David.

Comprendere la vulnerabilità

Il nocciolo del problema risiede nel funzionamento interno del framework aziendale di Windows Hello. Quando il sistema viene configurato inizialmente, genera una coppia di chiavi pubblica/privata, con la chiave pubblica registrata tramite un provider di ID aziendale, come Entra ID. Sebbene i dati biometrici siano archiviati in un database crittografato gestito dal Windows Biometric Service (WBS), gli attuali metodi di crittografia a volte non riescono a contrastare un aggressore con diritti di amministratore locale, consentendogli di decifrare questi dati critici.

Sicurezza di accesso avanzata come soluzione

Per affrontare queste vulnerabilità, Microsoft ha introdotto Enhanced Sign-in Security (ESS). Questa funzionalità isola efficacemente il processo di autenticazione biometrica all’interno di un ambiente sicuro gestito dall’hypervisor del sistema. Tuttavia, l’implementazione di ESS richiede hardware specifico: una moderna CPU a 64 bit che supporti la virtualizzazione hardware, un chip TPM 2.0, Secure Boot nel firmware e sensori biometrici adeguatamente certificati.

ESS è molto efficace nel bloccare questo attacco, ma non tutti possono usarlo. Ad esempio, abbiamo acquistato dei ThinkPad circa un anno e mezzo fa, ma purtroppo non hanno un sensore di sicurezza per la fotocamera perché utilizzano chip AMD e non Intel.

La sfida futura

Nonostante l’efficacia di ESS, una patch completa per le vulnerabilità esistenti nei sistemi non ESS rappresenta una sfida significativa. Secondo Osswald e David, correggere i problemi architetturali sottostanti senza una riprogettazione completa non è fattibile. Pertanto, le aziende che utilizzano Windows Hello senza ESS devono valutare la possibilità di disabilitare completamente l’autenticazione biometrica, optando invece per alternative come il PIN.

Come verificare la compatibilità ESS

Per verificare se il tuo sistema supporta ESS, accedi alle impostazioni e seleziona la sezione “Opzioni di accesso” del tuo account. Cerca un interruttore con la dicitura “Accedi con una fotocamera esterna o un lettore di impronte digitali”.Se questo interruttore è disattivato, ESS è attivo, il che significa che il lettore di impronte digitali USB non sarà utilizzabile per gli accessi. Attivandolo, si disattiva la funzionalità ESS, consentendo il funzionamento dei dispositivi esterni, anche se a rischio di una minore sicurezza.

Screenshot delle Impostazioni - Disattiva l'interruttore ESS — Immagine: Microsoft

Secondo Microsoft, alcune periferiche compatibili con Windows Hello potrebbero abilitare ESS. Sebbene questa funzionalità non rappresenti di per sé un problema di sicurezza, complica l’utilizzo del dispositivo. Microsoft consiglia di mantenere sempre connesse tutte le periferiche compatibili, con il supporto completo per i dispositivi esterni tramite ESS previsto non prima della fine del 2025.

Fonte e immagini