Ukryta luka w laptopach i komputerach stacjonarnych z systemem Windows umożliwia nieautoryzowane logowanie (kradzież tożsamości)

W najnowszym raporcie ERNW, niemieckiej firmy badawczej zajmującej się bezpieczeństwem, szczegółowo opisano lukę w Windows Hello for Business - systemie uwierzytelniania bez hasła Microsoftu. Badania, będące częścią projektu finansowanego przez niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI), pokazują, w jaki sposób atakujący z wcześniejszym dostępem do urządzenia mogą wykorzystać projekt systemu do popełnienia formy kradzieży tożsamości.

Atak ten, nazwany "The Face Swap", wykorzystuje sposób, w jaki Windows Hello obsługuje dane biometryczne - zamiast wykorzystywać dane biometryczne użytkownika do bezpośredniego uwierzytelniania, system wykorzystuje je do odblokowania klucza kryptograficznego przechowywanego w systemie. Badacze ERNW odkryli, że osoba atakująca z uprawnieniami administracyjnymi może uzyskać dostęp do bazy danych, która łączy tożsamość użytkownika z przechowywanym szablonem biometrycznym, i manipulować nią.

W ramach ataku typu proof-of-concept badacze z powodzeniem zamienili identyfikatory między dwoma zarejestrowanymi użytkownikami. Zamiana całkowicie oszukała system; atakujący mógł usiąść przed kamerą komputera, a Windows Hello użyłby jego twarzy, aby przyznać mu dostęp do konta ofiary, w tym wszystkich zasobów sieci korporacyjnej, plików i danych.

Mówiąc prościej, na dowolnym komputerze z systemem Windows (z Windows Hello) z wieloma profilami użytkowników, ta luka w zabezpieczeniach pozwala każdemu z kontem administracyjnym ukraść tożsamość innych użytkowników w systemie.

ERNW twierdzi, że ujawnił swoje ustalenia firmie Microsoft, ale podejrzewa, że fundamentalna poprawka jest mało prawdopodobna, ponieważ wymagałaby przeglądu architektury systemu. W oddzielnym incydencie ERNW zgłosiło krytyczną lukę w systemach Linux, która pozwoliła atakującym na pełny dostęp do tych systemów około dwa tygodnie temu.