Windows-användare var glada över att se enheter med ett biometriskt autentiseringssystem baserat på ett fingeravtryck (fingeravtryck), på den modell av Touch ID som fanns på Apples bärbara datorer och datorer. Problemet är att saker och ting inte går lika bra på Windows, med Windows Hello-sårbarheter för fingeravtrycksautentisering som upptäckts på de bästa bärbara datorerna.

Säkerhetsforskare har avslöjat att Windows Hello fingeravtrycksautentiseringssystem, som finns på tre av de mest populära bärbara Windows-datorerna, inte ger den förväntade säkerhetsnivån. På Microsofts begäran genomförde cybersäkerhetsföretaget Blackwing Intelligence penetrationstester och fann att alla tre bärbara datorer inte klarade dessa tester.

Trots att Microsoft Surface utsattes för tester visade det sig vara den mest sårbara av de tre testade modellerna, vilket gjorde att den biometriska autentiseringen av Windows Hello-fingeravtryck enkelt kunde kringgås.

Microsofts forskargrupp (MORSE) begärde uttryckligen säkerhetsbedömningen för de topppresterande fingeravtryckssensorerna inbäddade i bärbara datorer, men resultaten visade på flera sårbarheter som framgångsrikt utnyttjats av teamet. Varje bärbar dator, inklusive Dell Inspiron 15 och Lenovo ThinkPad T14, krävde olika tillvägagångssätt för att kringgå befintliga säkerhetsprotokoll.

Dessa Windows Hello-sårbarheter för fingeravtrycksautentisering understryker den fortsatta vikten av att förbättra autentiseringssystemen för att säkerställa en ökad säkerhetsnivå.

Windows Hello-fingeravtrycksautentiseringssårbarheter på Dell Inspiron 15

Dell Inspiron 15 presenterar betydande Windows Hello-fingeravtrycksautentiseringssårbarheter. När enheten startas upp i Windows följer den fullständiga säkerhetsprotokoll, inklusive Secure Device Connection Protocol (SDCP). Dessa protokoll utför viktiga kontroller, som att säkerställa att värden kommunicerar med en betrodd enhet och att fingeravtrycksdata inte lagras eller vidarebefordras. Teamet som testade Windows Hello-sårbarheter märkte dock att även om åtkomst till fingeravtrycksläsaren i Windows använder SDCP, gör inte åtkomst i Linux det. Och de fick en idé.

Genom att starta upp målenheten till Linux och använda Linux-sidan för att skriva in angriparens fingeravtryck i databasen genom att ange samma ID som en legitim användare registrerad via Windows, identifierade teamet en sårbarhet. Även om detta försök till en början misslyckades, eftersom separata on-chip-databaser för Windows och Linux upptäcktes, var det möjligt att avgöra hur Windows visste vilken databas som skulle komma åt och kunde dirigera den till den på Linux.

Detta öppnade vägen för nästa lösning, som involverade en attack Man in the Middle (MitM). Här är stegen för denna Windows Hello-sårbarhet för fingeravtrycksautentisering på Dell Inspiron 15.

1. Starta till Linux.
2. Giltiga ID är listade. Så de som kan auktoriseras bestäms.
3. Registrering av angriparens fingeravtryck med samma ID som en legitim Windows-användare utförs.
4. Typ attack Man in the Middle (MitM) på anslutningen mellan värden och sensorn.
5. Systemet startar upp i Windows.
6. Avlyssning och omskrivning av konfigurationspaketet för att peka på Linux-databasen med MitM-attacken.
7. Autentisering görs som en legitim användare med angriparens fingeravtryck.

En relativt enkel metod för den typ av användare som har en genomsnittlig kunskap om arkitekturen för Linux-operativsystem och Windows-system.

När det gäller Microsoft Surface Pro 8/X är sårbarheten ännu lättare att utnyttja.

Fingeravtrycks-ID-sårbarhet på Microsoft Surface Pro Type Cover

När det gäller sårbarheten som identifierats på Microsoft Surface Pro Type Cover med Fingerprint ID, förväntade sig forskargruppen att en officiell Microsoft-produkt skulle ha den högsta svårighetsgraden, men de blev förvånade över att hitta otroligt svag säkerhet. I det här fallet var bristen på Secure Device Connection Protocol (SDCP) uppenbar, tillsammans med klartext (okrypterad) USB-kommunikation och frånvaron av autentisering.

Med denna brist på säkerhet fann teamet att de helt enkelt kunde koppla ur fingeravtryckssensorn och koppla in sin egen enhet för att efterlikna den. Proceduren bestod av att koppla bort Type Cover (föraren kan inte hantera två anslutna sensorer, blir instabil), ansluta attackenheten, främja VID/PID för sensorn, observera det giltiga SID från Windows-drivrutinen, klara kontrollen “how many fingerprints” och initiera fingeravtrycksautentisering på Windows-systemet, följt av att skicka ett giltigt inloggningssvar från den falska enheten.

Sammanfattningsvis har dessa Windows Hello-sårbarheter för fingeravtrycksautentisering belyst de betydande sårbarheter som kan finnas i implementeringen av biometriska autentiseringssystem.

Släkt: Hur vi inaktiverar autentisering med Windows Hello Pin, även fingeravtryck i Windows 10

Vad är Windows Hello?

Först introducerades med lanseringen av operativsystemet Windows 10 och fortsätter att tillhandahålla förbättrad funktionalitet på Windows 11-datorer och bärbara datorer, Windows Hello är ett snabbare och säkrare sätt att få omedelbar åtkomst till Windows-enheter.

Detta avancerade autentiseringssystem ger dig möjlighet att komma åt Windows 11-enheter med en PIN-kod, ansiktsigenkänning eller fingeravtryck. För att dra fördel av dessa alternativ måste du ställa in en PIN-kod under initiering av fingeravtryck eller ansiktsigenkänning, men du kan också autentisera med bara din PIN-kod.

Dessa alternativ gör inte bara inloggningen på din PC betydligt enklare, utan gör den också säkrare, eftersom din PIN-kod är kopplad till endast en enhet och säkerhetskopieras för återställning via ditt Microsoft-konto.