Windows Hello, scoperta (e corretta) una vulnerabilità che consente di bypassarlo

14 Luglio 2021 7

CyberArk Labs ha pubblicato una nuova ricerca su una vulnerabilità presente in Windows Hello che consente di bypassare il riconoscimento facciale per l'autenticazione. Alla vulnerabilità è stato assegnato un CVE (5.7) ed è stata inclusa nella release delle patch del martedì di Microsoft.

Il team di ricerca di CyberArk ha identificato un modo per manipolare il meccanismo di riconoscimento facciale che Windows Hello, sistema adottato dall'85% degli utenti, utilizza tramite una fotocamera USB esterna e una foto della vittima. Se i ricercatori si sono concentrati su Windows Hello, si legge in una nota, la loro scoperta può avere implicazioni per qualsiasi sistema di autenticazione che permette ad una fotocamera USB di terze parti di agire come sensore biometrico. Come evidenzia la ricerca, questo tipo di attacco è particolarmente rilevante per uno spionaggio mirato - dove l'obiettivo è noto e l'accesso fisico a un dispositivo è necessario.

Diagramma del percorso di attacco

Il sensore biometrico utilizzato per l'accesso può essere l'anello debole della catena, esponendo potenzialmente il sistema ad attacchi legati alla manipolazione dei dati sul dispositivo dell'obiettivo. Se il sistema operativo, in particolare Windows Hello, prende la sua decisione di autenticazione sulla base delle informazioni trasmesse da un sensore, la manipolazione di queste informazioni può portare ad un potenziale bypass dell'intero sistema di autenticazione.

I dati raccolti provengono da una sola fonte: il sensore biometrico. L'input raccolto da questo sensore viene sottoposto a un'analisi biometrica, confrontando i dati con quelli precedentemente memorizzati, e dopo di che, il risultato dell'analisi viene inviato al sistema di autenticazione. Nel caso di un riconoscimento facciale, il sensore biometrico è una telecamera incorporata nel dispositivo, come nei computer portatili, o collegato al computer, nella maggior parte dei casi via USB. Il flusso di autenticazione di tutto il sistema si basa sull'input proveniente dalla telecamera, cosa che può creare una vulnerabilità.

Diagramma di flusso del sistema di autenticazione biometrica

La telecamera essenzialmente invia al rispettivo sistema operativo il fotogramma che riceve dai suoi sensori, che contiene una persona di fronte alla telecamera. Poi, questi stessi fotogrammi vengono esaminati attraverso l'analisi biometrica e confrontati con il set di dati predefinito situato nel disco rigido del computer. Se i dati ricevuti dal sensore corrispondono a quelli registrati, allora il sistema operativo consente l’accesso.

Invece di usare qualcosa che solo l’utente conosce, il riconoscimento facciale prende informazioni "pubbliche" (la faccia della potenziale vittima) per concedere l’accesso nel sistema. Sfruttare il riconoscimento facciale per ottenere un accesso illecito è in sostanza un processo del tutto simile al furto di una password, ma molto più accessibile poiché i dati (il volto) sono già pubblici.

La ricerca ha delineato una interessante strategia d’attacco: catturare l'immagine di una vittima, salvare i fotogrammi catturati, impersonare un dispositivo fotocamera USB, e infine inviare quei fotogrammi al sistema per la verifica. Il cuore di questa vulnerabilità sta nel fatto che Windows Hello considera attendibili fonti di dati esterne, che possono in qualche modo essere manipolate.

Microsoft ha già rilasciato gli aggiornamenti di sicurezza necessari per affrontare la vulnerabilità come parte della patch martedì di luglio 2021. Secondo Redmond, i clienti che utilizzano Windows Hello Enhanced Sign-in Security sono protetti da questo tip di attacchi. Questa funzionalità di sicurezza richiede particolari hardware, driver e firmware preinstallati sul sistema dai produttori di dispositivi.


7

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Internauta

Della telecamera probabilmente è perchè non hai il sensore biometrico. Per l'impronta forse mancano drivers? Non saprei.

ADeltaX

Anche il PIN viene considerato Windows Hello

DrinkDifferent

quello verifico, non saprei come capirlo, mentre per l'impronta?

Anubi da Codroipo

hello usato dall'85% degli utenti? mi sembra un po' esagerato

lironico

la webcam integrata nel portatile ?
la webcam deve avere infrared (IR) se no non funziona

io uso una logitech brio ad esempio funziona perfettamente

DrinkDifferent

a me di windows hello su lenovo c340 funziona solo con il PIN, non mi fà impostare ne l'impronta ne accesso con il volto.

cosa stò sbagliando?

premetto che come HW mi riconosce sia il lettore di impronta che la webcam integrati
il problema penso sia che non comunicano con hello

Say hello to Hello!
:D
(Ma non va affatto bene che si possa fare questo, soprattutto mi piacerebbe sapere come ci riescono)
:\

Microsoft Surface Laptop Studio, Pro 8 e gli altri: quale scegliere per il business?

Honor MagicBook 16 2022, la recensione: diversi passi in avanti e un prezzo maggiore

Recensione MSI GE76 Raider i9 12900HK e RTX 3080 Ti: un mostro di potenza!

Il 2-in-1 nel 2021: la mia esperienza con Asus Vivobook Slate 13''