Em maio, a Microsoft iniciou uma mudança significativa em direção a um futuro sem senhas, tornando as novas configurações de conta padrão para utilizar alternativas como chaves de acesso e o Windows Hello. Essa mudança faz parte de uma tendência mais ampla que visa aumentar a segurança e, ao mesmo tempo, simplificar o acesso do usuário.
No entanto, descobertas recentes dos pesquisadores alemães Tillmann Osswald e Dr. Baptiste David, apresentadas na conferência Black Hat em Las Vegas, revelaram vulnerabilidades na versão empresarial do Windows Hello. A demonstração ilustrou um método para comprometer a segurança biométrica do sistema.
Durante o evento, o Dr. David conseguiu acessar seu dispositivo usando reconhecimento facial, mas Osswald, agindo como um invasor com privilégios de administrador local, explorou uma série de comandos. Ele inseriu uma leitura facial capturada em outro computador no banco de dados biométrico do sistema alvo. Surpreendentemente, o dispositivo foi desbloqueado sem hesitação quando o invasor se aproximou, reconhecendo-o como Dr. David.
Compreendendo a vulnerabilidade
O cerne do problema reside no funcionamento interno da estrutura de negócios do Windows Hello. Quando o sistema é configurado inicialmente, ele gera um par de chaves pública/privada, com a chave pública registrada por meio de um provedor de ID da organização, como o Entra ID. Embora os dados biométricos sejam armazenados em um banco de dados criptografado governado pelo Serviço Biológico do Windows (WBS), os métodos de criptografia atuais às vezes não conseguem impedir um invasor com direitos de administrador local, permitindo-lhe descriptografar esses dados críticos.
Segurança de login aprimorada como solução
Para lidar com essas vulnerabilidades, a Microsoft introduziu o Enhanced Sign-in Security (ESS). Esse recurso isola efetivamente o processo de autenticação biométrica em um ambiente seguro gerenciado pelo hipervisor do sistema. No entanto, a implementação do ESS requer hardware específico: uma CPU moderna de 64 bits com suporte à virtualização de hardware, um chip TPM 2.0, inicialização segura no firmware e sensores biométricos devidamente certificados.
O ESS é muito eficaz no bloqueio desse ataque, mas nem todos podem usá-lo. Por exemplo, compramos ThinkPads há cerca de um ano e meio, mas infelizmente eles não têm um sensor seguro para a câmera porque usam chips AMD e não Intel.
O desafio pela frente
Apesar da eficácia do ESS, uma correção abrangente para as vulnerabilidades existentes em sistemas sem ESS representa um desafio significativo. Segundo Osswald e David, corrigir os problemas arquitetônicos subjacentes sem uma reformulação completa não é viável. Portanto, empresas que utilizam o Windows Hello sem ESS precisam considerar a desativação completa da autenticação biométrica, optando por alternativas como um PIN.
Como verificar a compatibilidade do ESS
Para verificar se o seu sistema suporta ESS, acesse suas configurações e verifique as “Opções de login” na sua conta. Procure por uma opção chamada “Fazer login com uma câmera externa ou leitor de impressão digital”.Se essa opção estiver desativada, o ESS estará ativo, o que significa que seu leitor de impressão digital USB ficará inoperante para logins. Ativá-la desativa o recurso ESS, permitindo que dispositivos externos funcionem, embora com risco de segurança reduzida.
De acordo com a Microsoft, alguns periféricos compatíveis com o Windows Hello podem habilitar o ESS. Embora esse recurso não represente um problema de segurança inerente, ele complica o uso do dispositivo. A Microsoft recomenda manter todos os periféricos compatíveis conectados o tempo todo, com suporte total para dispositivos externos com o ESS previsto para o final de 2025.
Artigos relacionados:
Acesse os links para download do ISO 25H2 do Windows 11 antes do lançamento oficial da Microsoft
19:18
Como reduzir o uso de RAM no Microsoft Edge
17:32
Microsoft Weekly: notícias importantes sobre jogos, atualizações de navegadores e destaques
9:03
Deixe um comentário