Uwierzytelnienie funkcją Windows Hello jest podstawowym i rekomendowanym zabezpieczeniem logowania do urządzeń z systemem Windows 10. Technologia Windows Hello oraz Windows Hello for Business zastępuje tradycyjny login i hasło, jedną z trzech dostępnych metod uwierzytelnienia: numerem PIN, funkcją rozpoznawania twarzy lub skanerem linii papilarnych. Błąd, który umożliwia osobie atakującej przejąć kontrolę nad urządzeniem, przede wszystkim wymaga fizycznego dostępu do komputera/laptopa/tabletu, aby oszukać rozpoznawanie twarzy przy użyciu specjalnie przygotowanej „kamery USB”. Ten atak jest nieskuteczny z kodem PIN lub logowaniem odciskiem palca.
Luka w Windows Hello: oszukanie skanera twarzy
Luka CVE-2021-34466 została załatana w ten wtorek, w comiesięcznej aktualizacji Windows 10, dlatego departamenty bezpieczeństwa powinny podjąć szybką próbę aktualizacji systemów, wszędzie tam, gdzie używa się logowania z rozpoznawaniem twarzy. Atak wymaga fizycznego dostępu do komputera, dlatego jego użycie w warunkach innych niż kontrolowane, jest trudne, lecz nie niemożliwe. Według Microsoftu funkcja Windows Hello jest aktywowana aż na 85% komputerów z zainstalowanym Windows 10.
Eksperci z CyberArk Labs zwracają uwagę, że narażone na ataki są potencjalnie wszystkie urządzenia, które pozwalają na podłączenie zewnętrznej kamery USB wyposażonej w sensory RGB oraz Infra-red (IR), czyli zgodnej z funkcją Windows Hello (przy czym badacze nie przeprowadzili testów, aby to zweryfikować).
Szczegóły techniczne obejścia, oszukania technologii biometrycznej, są już opisane na blogu CyberArk, i zostaną zaprezentowane podczas konferencji Black Hat 2021 w dniach od 4 do 5 sierpnia 2021 roku.
W jaki sposób aktywować i używać Windows Hello ze zwróceniem uwagi na opcje prywatności opisaliśmy w poradniku pt. „Poradnik prywatności i bezpieczeństwa Windows, Ubuntu, Android, iOS, macOS”.
