Os usuários do Windows ficaram entusiasmados ao ver dispositivos com sistema de autenticação biométrica baseado em impressão digital (impressão digital), no modelo do Touch ID existente nos laptops e computadores da Apple. O problema é que as coisas não vão tão bem no Windows, com vulnerabilidades de autenticação de impressão digital do Windows Hello descobertas nos principais laptops.

Pesquisadores de segurança revelaram que o sistema de autenticação de impressão digital do Windows Hello, presente em três dos laptops Windows mais populares, não oferece o nível de segurança esperado. A pedido da Microsoft, a empresa de segurança cibernética Blackwing Intelligence conduziu testes de penetração, descobrindo que todos os três laptops falharam nesses testes.

Apesar de o Microsoft Surface ter sido submetido a testes, revelou-se o mais vulnerável dos três modelos testados, permitindo que a autenticação biométrica de impressão digital do Windows Hello fosse facilmente contornada.

A equipe de pesquisa da Microsoft (MORSE) solicitou explicitamente a avaliação de segurança para os sensores de impressão digital de alto desempenho incorporados em laptops, mas os resultados mostraram múltiplas vulnerabilidades exploradas com sucesso pela equipe. Cada laptop, incluindo o Dell Inspiron 15 e o Lenovo ThinkPad T14, exigia abordagens distintas para contornar os protocolos de segurança existentes.

Essas vulnerabilidades de autenticação de impressão digital do Windows Hello ressaltam a importância contínua de melhorar os sistemas de autenticação para garantir um maior nível de segurança.

Vulnerabilidades de autenticação de impressão digital do Windows Hello no Dell Inspiron 15

Dell Inspiron 15 prezintă semnificative vulnerabilități Windows Hello la autentificarea fingerprint. Atunci când dispozitivul este pornit în Windows, acesta urmează protocoalele complete de securitate, inclusiv Secure Device Connection Protocol (SDCP). Aceste protocoale efectuează verificări esențiale, cum ar fi asigurarea că gazda comunică cu un dispozitiv de încredere și că datele amprentei nu sunt stocate sau retransmise. Cu toate acestea, echipa care a testat vulnerabilități Windows Hello a observat că, în timp ce accesul la cititorul de amprente în Windows utilizează SDCP, accesul în Linux nu. Și le-a venit o idee.

Ao inicializar o dispositivo alvo no Linux e usar o lado do Linux para inserir a impressão digital do invasor no banco de dados, especificando o mesmo ID de um usuário legítimo registrado no Windows, a equipe identificou uma vulnerabilidade. Embora esta tentativa tenha sido inicialmente malsucedida, à medida que bancos de dados separados no chip para Windows e Linux foram descobertos, foi possível determinar como o Windows sabia qual banco de dados acessar e foi capaz de direcioná-lo para aquele no Linux.

Isso abriu caminho para a próxima solução, envolvendo um ataque Man in the Middle (MitM). Aqui estão as etapas para esta vulnerabilidade de autenticação de impressão digital do Windows Hello Dell Inspiron 15.

1. Inicialize no Linux.
2. IDs válidos são listados. Assim são determinados aqueles que podem ser autorizados.
3. É realizado o registro da impressão digital do invasor usando o mesmo ID de um usuário legítimo do Windows.
4. Digite ataque Man in the Middle (MitM) na conexão entre o host e o sensor.
5. O sistema inicializa no Windows.
6. Interceptar e reescrever o pacote de configuração para apontar para o banco de dados Linux usando o ataque MitM.
7. A autenticação é feita como usuário legítimo com a impressão digital do invasor.

Um método relativamente simples para o tipo de usuário que possui um conhecimento médio da arquitetura dos sistemas operacionais Linux e Windows.

Quanto ao Microsoft Surface Pro 8/X, a vulnerabilidade é ainda mais fácil de explorar.

Vulnerabilidade de identificação de impressão digital na capa tipo Microsoft Surface Pro

În ceea ce privește vulnerabilitatea identificată pe Microsoft Surface Pro Type Cover cu Fingerprint ID, echipa de cercetare s-a așteptat ca un produs oficial Microsoft să prezinte cel mai mare grad de dificultate, însă au fost uluiți să constate o securitate incredibil de slabă. În acest caz, lipsa Protocolului de Conexiune Securizată a Dispozitivului (SDCP) a fost evidentă, alături de comunicarea USB în text clar (necriptat) și absența autentificării.

Com essa falta de segurança, a equipe descobriu que poderia simplesmente desconectar o sensor de impressão digital e conectar seu próprio dispositivo para imitá-lo. O procedimento consistiu em desconectar o Type Cover (o driver não consegue lidar com dois sensores conectados, ficando instável), conectar o dispositivo de ataque, promover o VID/PID do sensor, observar o SID válido do driver do Windows, passar na verificação “how many fingerprints” e iniciar a autenticação de impressão digital no sistema Windows, seguida pelo envio de uma resposta de login válida do dispositivo falsificado.

Concluindo, essas vulnerabilidades de autenticação de impressão digital do Windows Hello destacaram as vulnerabilidades significativas que podem existir na implementação de sistemas de autenticação biométrica.

Relacionado: Como desativamos a autenticação com o Windows Hello Pin, também impressão digital no Windows 10

O que é o Windows Olá?

Introduzido pela primeira vez com o lançamento do sistema operacional Windows 10 e continuando a fornecer funcionalidades aprimoradas em PCs e laptops com Windows 11, o Windows Hello é uma maneira mais rápida e segura de obter acesso instantâneo a dispositivos Windows.

Este sistema de autenticação avançado permite acessar dispositivos Windows 11 usando um PIN, reconhecimento facial ou impressão digital. Para aproveitar essas opções, você precisa configurar um código PIN durante a inicialização da impressão digital ou do reconhecimento facial, mas também pode autenticar apenas com seu PIN.

Essas opções não apenas tornam o login no seu PC significativamente mais fácil, mas também o tornam mais seguro, pois seu PIN está associado a apenas um dispositivo e tem backup para recuperação por meio de sua conta da Microsoft.