Die Windows Hello-Fingerabdruckauthentifizierung von Microsoft wurde auf Dell-, Lenovo- und Surface-Laptops umgangen

ComputerNov 22, 2023

Wenn Sie gehört haben, dass Forscher Windows Hello auf Dell-, Lenovo- und Surface-Laptops umgangen haben, finden Sie hier alles, was Sie wissen müssen.

Die zentralen Thesen

  • Forschern ist es gelungen, Windows Hello auf Dell-, Lenovo- und Microsoft-Laptops zu umgehen und Schwachstellen in der Technologie zum Scannen von Fingerabdrücken aufzuzeigen.
  • Die Fingerabdrucksensoren dieser Laptops verwenden die „Match on Chip“-Technologie, um auf ihren eigenen Mikroprozessoren eine biometrische Überprüfung durchzuführen. Dies verhindert jedoch nicht automatisch Spoofing-Angriffe.
  • Das Secure Device Protection Protocol (SDCP) von Microsoft zielt darauf ab, diese Schwachstellen zu beheben, die Forscher fanden jedoch einige Laptops, darunter Lenovo ThinkPad T14s und Microsoft Surface Type Cover, nutzten SDCP überhaupt nicht und waren daher anfälliger dafür Anschläge.

Wenn Sie eine haben Windows-Laptop, dann sind Sie wahrscheinlich schon auf Windows Hello gestoßen. Es handelt sich um eine biometrische Anmeldung, die es Benutzern auf unterstützten Laptops ermöglicht, sich entweder mit einem Gesichts-Scan, einem Iris-Scan oder einem Fingerabdruck-Scan anzumelden. Sollten Sie jedoch einen Fingerabdruck verwenden, um in Ihren Laptop einzudringen, seien Sie gewarnt: Forscher vom Blackwing-Hauptquartier haben Windows Hello auf drei verschiedenen Laptops von Dell, Lenovo und Microsoft umgangen.

Auf der BlueHat-Konferenz von Microsoft in Redmond, Washington, sprechen Jesse D'Aguanno und Timo Teräs gezeigt wie es ihnen gelungen war, Windows Hello auf dem Dell Inspiron 15, dem Lenovo ThinkPad T14s und dem Microsoft Surface Pro Type Cover mit Fingerabdruck-ID (für Surface Pro 8/X) zu umgehen. Dies bedeutete, dass sie wie ein normaler Benutzer Zugriff auf das Benutzerkonto und die Daten des Benutzers erhalten konnten. Darüber hinaus stammen die in diesen drei Geräten verwendeten Sensoren von Goodix, Synaptics bzw. ELAN. Dies bedeutet, dass diese Schwachstellen nicht nur auf einen Hersteller von Fingerabdruckscannern oder Laptops beschränkt sind OEM.

Match on Chip, SDCP und wie Laptop-Hersteller Fehler gemacht haben

Surface Pro 7 + mit schwarzer Type-Cover-Tastatur

Zuallererst ist es wichtig zu verstehen, wie diese Fingerabdruckscanner funktionieren und mit dem Hostsystem interagieren. Alle drei Fingerabdruckscanner verwenden die „Match on Chip“ (MoC)-Technologie, was bedeutet, dass sie über einen eigenen Mikroprozessor und Speicher verfügen. Die gesamte Fingerabdrucküberprüfung wird auf diesem Chip durchgeführt, einschließlich des Vergleichs mit der Datenbank der „Fingerabdruckvorlagen“. die biometrischen Daten, die der Fingerabdrucksensor erhält. Dadurch wird sichergestellt, dass die biometrischen Daten auch dann nicht gefährdet sind, wenn der Host-Rechner (in diesem Fall der Laptop selbst) kompromittiert wird.

Ein weiterer Vorteil von MoC besteht darin, dass es einen Angreifer daran hindert, einen gefälschten Sensor zu kompromittieren und biometrische Daten an das Hostsystem zu senden. Dies hindert einen bösartigen Sensor jedoch nicht daran, sich als legitimer Sensor auszugeben und dem System mitzuteilen, dass sich der Benutzer authentifiziert hat. Es kann auch keine Replay-Angriffe verhindern, bei denen ein Angreifer einen gültigen Anmeldeversuch abfängt und ihn dann auf dem Hostsystem „wiederholt“. Windows Hello Advanced Sign-in Security (ESS) erfordert den Einsatz von MoC-Sensoren, aber Sie erkennen bereits eine Reihe von Möglichkeiten, wie kreative Angreifer versuchen könnten, in den Laptop eines Benutzers einzudringen. Aus diesem Grund hat Microsoft SDCP entwickelt, das Secure Device Protection Protocol.

SDCP hat folgende Ziele:

  1. Sicherstellen, dass das Fingerabdruckgerät vertrauenswürdig ist
  2. Sicherstellen, dass das Fingerabdruckgerät fehlerfrei ist
  3. Schützt die Eingabe zwischen dem Fingerabdruckgerät und dem Host

SDCP ist eine Doktrin, die besagt, dass das System, wenn es eine biometrische Anmeldung akzeptiert, dies unter der Annahme tun kann, dass der Gerätebesitzer zum Zeitpunkt der Anmeldung physisch anwesend war. Basierend auf einer Vertrauenskette zielt es darauf ab, die folgenden Fragen zum verwendeten Sensor zu beantworten:

  1. Kann der Host darauf vertrauen, dass er mit einem Originalgerät kommuniziert?
  2. Kann der Host darauf vertrauen, dass das Gerät nicht gehackt oder verändert wurde?
  3. Sind die vom Gerät kommenden Daten geschützt?

Aus diesem Grund erstellt SDCP einen End-to-End-Kanal zwischen Host und Fingerabdrucksensor. Dies nutzt Secure Boot, das sicherstellt, dass ein modellspezifisches Zertifikat und ein privater Schlüssel als Vertrauenskette dienen, um zu überprüfen, ob die gesamte Kommunikation unverfälscht ist. Kompromittierte Firmware kann weiterhin verwendet werden, aber das System weiß, dass sie kompromittiert wurde und geändert, und die Forscher stellten fest, dass alle getesteten Geräte auch ihre Firmware signierten, um dies zu verhindern Manipulation.

All das hört sich gut an, und SDCP als Konzept ist eine großartige Sicherheitsfunktion, die OEMs nutzen sollten. Daher war es für die Forscher eine Überraschung, dass das Lenovo ThinkPad T14s und das Microsoft Surface Type Cover SDCP überhaupt nicht nutzten.

Um die Forscher vom Blackwing-Hauptquartier zu zitieren:

„Microsoft hat bei der Entwicklung von SDCP gute Arbeit geleistet, um einen sicheren Kanal zwischen dem Host und biometrischen Geräten bereitzustellen, aber leider scheinen die Gerätehersteller einige der Ziele falsch zu verstehen.“ Darüber hinaus deckt SDCP nur einen sehr begrenzten Bereich des Betriebs eines typischen Geräts ab, während die meisten Geräte über eine beträchtliche Angriffsfläche verfügen, die von SDCP überhaupt nicht abgedeckt wird.

Schließlich stellten wir fest, dass SDCP auf zwei von drei der von uns anvisierten Geräte nicht einmal aktiviert war.“

Angriff auf Dell, Lenovo und Surface

Im Fall des Dell Inspiron 15 stellten die Forscher fest, dass sie einen Fingerabdruck über Linux registrieren konnten, das wiederum kein SDCP nutzen würde. Es stellt sich zwar heraus, dass der Sensor zwei Fingerabdruckdatenbanken für Linux und Windows speichert (wodurch sichergestellt wird, dass SDCP nur unter Windows verwendet wird und sich ein Benutzer nicht anmelden kann). Linux, um sich unter Windows anzumelden) ist es möglich, die Verbindung zwischen Sensor und Host abzufangen, um dem Sensor mitzuteilen, dass er die Linux-Datenbank verwenden soll, obwohl der Computer gerade gestartet wird Windows.

Dies alles war dank eines nicht authentifizierten Pakets möglich, das das gebootete Betriebssystem überprüfte und stattdessen gekapert werden konnte, um auf die Linux-Datenbank zu verweisen. Es war erforderlich, einen Raspberry Pi 4 zu verwenden, um Benutzer in der Linux-Datenbank zu registrieren und manuell eine Verbindung zum Sensor herzustellen, aber es war nicht möglich funktionierte und ermöglichte es den Forschern, sich mit einem beliebigen Fingerabdruck beim Windows-System anzumelden und dabei weiterhin SDCP beizubehalten intakt.

Quelle: Blackwing-Hauptquartier

Im Fall des Lenovo ThinkPad T14s war das Reverse Engineering eines benutzerdefinierten TLS-Stacks erforderlich, der die Kommunikation zwischen dem Host und dem Sensor sichert und SDCP vollständig überspringt. Es stellte sich heraus, dass der zur Verschlüsselung dieser Kommunikation verwendete Schlüssel eine Kombination aus dem Produkt der Maschine war Name und Seriennummer und die Nutzung einfach, weil es sich um ein „technisches Problem“ handelt, wie die Forscher es ausdrücken Es.

Sobald der Fingerabdruck des Angreifers zwangsweise in die Liste der gültigen IDs eingetragen werden konnte, war es möglich, Windows zu starten und sich mit dem Fingerabdruck des Angreifers am System anzumelden.

Quelle: Blackwing-Hauptquartier

Das Schlimmste und Ungeheuerlichste der drei ist der Fingerabdrucksensor des Microsoft Surface Cover von ELAN. Es gibt kein SDCP, die Kommunikation erfolgt über USB im Klartext und es werden keine Anstrengungen zur Authentifizierung des Benutzers unternommen. Die einzige Authentifizierungsprüfung, die es durchführt, ist eine Überprüfung beim Hostsystem, um festzustellen, ob die Anzahl der registrierten Fingerabdrücke auf dem Host mit der Anzahl des Sensors übereinstimmt. Dies kann immer noch leicht umgangen werden, indem ein gefälschter Sensor den echten Sensor fragt, wie viele Fingerabdrücke registriert sind.

Was kannst du tun?

Wenn Sie eines dieser betroffenen Laptops besitzen, können Sie sicher sein, dass es sehr unwahrscheinlich ist, dass Ihnen ein solcher Angriff widerfährt. Hierbei handelt es sich um hochspezialisierte Angriffe, die für den Angreifer einen hohen Aufwand erfordern und außerdem physischen Zugriff auf Ihren Laptop erfordern. Wenn dies ein Problem darstellt, besteht die beste Lösung darin, entweder auf einen sichereren Laptop zu aktualisieren oder Windows Hello zumindest vollständig zu deaktivieren.

Das Deaktivieren von Windows Hello sollte hoffentlich ausreichen, da Sie sich dann manuell anmelden müssen und das System nicht erwartet, dass sich ein Fingerabdrucksensor anmeldet. Wenn Sie Ihrem Laptop jedoch immer noch nicht vertrauen, dann Vielleicht wäre es eine gute Idee, sich ein neues anzuschaffen.