Jak hakerzy omijają uwierzytelnianie Windows Hello, aby uzyskać dostęp do Twojego komputera

Zdjęcie za pośrednictwem firmy Microsoft

W maju Microsoft zainicjował znaczący zwrot w kierunku przyszłości bez haseł, domyślnie wprowadzając nowe konfiguracje kont i wykorzystujące alternatywne rozwiązania, takie jak klucze dostępu i Windows Hello. Ten krok wpisuje się w szerszy trend mający na celu zwiększenie bezpieczeństwa przy jednoczesnym uproszczeniu dostępu użytkowników.

Jednak najnowsze odkrycia niemieckich badaczy Tillmanna Osswalda i dr. Baptiste’a Davida, zaprezentowane na konferencji Black Hat w Las Vegas, ujawniły luki w zabezpieczeniach biznesowej wersji Windows Hello. Ich demonstracja zilustrowała metodę złamania zabezpieczeń biometrycznych systemu.

Podczas wydarzenia dr David pomyślnie zalogował się do swojego urządzenia za pomocą rozpoznawania twarzy, ale Osswald, działając jako atakujący z uprawnieniami administratora lokalnego, wykorzystał serię poleceń. Wprowadził do bazy danych biometrycznych systemu docelowego skan twarzy zarejestrowany na innym komputerze. Co zdumiewające, urządzenie odblokowało się bez wahania, gdy atakujący się pochylił, rozpoznając w nim dr Davida.

Zrozumienie podatności

Sedno problemu tkwi w wewnętrznym funkcjonowaniu infrastruktury biznesowej Windows Hello. Podczas początkowej konfiguracji system generuje parę kluczy publiczny/prywatny, przy czym klucz publiczny jest rejestrowany za pośrednictwem dostawcy identyfikatorów organizacji, takiego jak Entra ID. Chociaż dane biometryczne są przechowywane w zaszyfrowanej bazie danych zarządzanej przez usługę biometryczną systemu Windows (WBS), obecne metody szyfrowania czasami zawodzą w przypadku ataku z uprawnieniami administratora lokalnego, umożliwiając mu odszyfrowanie tych krytycznych danych.

Zwiększone bezpieczeństwo logowania jako rozwiązanie

Aby zaradzić tym lukom, firma Microsoft wprowadziła funkcję Enhanced Sign-in Security (ESS). Funkcja ta skutecznie izoluje proces uwierzytelniania biometrycznego w bezpiecznym środowisku zarządzanym przez hiperwizor systemu. Jednak wdrożenie ESS wymaga specyficznego sprzętu: nowoczesnego 64-bitowego procesora obsługującego wirtualizację sprzętową, układu TPM 2.0, funkcji Secure Boot w oprogramowaniu układowym oraz odpowiednio certyfikowanych czujników biometrycznych.

ESS jest bardzo skuteczny w blokowaniu tego ataku, ale nie każdy może go użyć. Na przykład, kupiliśmy ThinkPady około półtora roku temu, ale niestety nie mają one bezpiecznego czujnika kamery, ponieważ korzystają z układów AMD, a nie Intela.

Wyzwanie przed nami

Pomimo skuteczności ESS, kompleksowa łatka na istniejące luki w zabezpieczeniach systemów spoza ESS stanowi poważne wyzwanie. Według Osswalda i Davida, naprawienie podstawowych problemów architektonicznych bez gruntownego przeprojektowania jest niemożliwe. Dlatego firmy korzystające z Windows Hello bez ESS powinny rozważyć całkowite wyłączenie uwierzytelniania biometrycznego i zamiast tego zdecydować się na alternatywne metody, takie jak PIN.

Jak sprawdzić zgodność z ESS

Aby sprawdzić, czy Twój system obsługuje ESS, przejdź do ustawień i sprawdź „Opcje logowania” na swoim koncie. Poszukaj przełącznika oznaczonego „Zaloguj się za pomocą zewnętrznej kamery lub czytnika linii papilarnych”.Jeśli ten przełącznik jest wyłączony, ESS jest aktywny, co oznacza, że czytnik linii papilarnych USB nie będzie mógł się logować. Włączenie go wyłącza funkcję ESS, umożliwiając działanie urządzeń zewnętrznych, choć wiąże się to z ryzykiem obniżenia poziomu bezpieczeństwa.

Zrzut ekranu Ustawień – Wyłącz przełącznik ESS — Obraz: Microsoft

Według Microsoftu, niektóre urządzenia peryferyjne zgodne z Windows Hello mogą włączać ESS. Chociaż funkcja ta sama w sobie nie stanowi zagrożenia dla bezpieczeństwa, komplikuje korzystanie z urządzenia. Microsoft zaleca stałe podłączenie wszystkich kompatybilnych urządzeń peryferyjnych, a pełne wsparcie dla urządzeń zewnętrznych w ramach ESS jest przewidywane dopiero pod koniec 2025 roku.

Źródło i obrazy