La autenticación de huellas dactilares de Windows Hello de Microsoft se omitió en las computadoras portátiles Dell, Lenovo y Surface

Conclusiones clave

• Los investigadores lograron eludir Windows Hello en computadoras portátiles Dell, Lenovo y Microsoft, destacando vulnerabilidades en la tecnología de escaneo de huellas digitales.
• Los sensores de huellas dactilares de estas computadoras portátiles utilizan la tecnología "Match on Chip" para realizar verificación biométrica en sus propios microprocesadores, pero esto no previene inherentemente los ataques de suplantación de identidad.
• El Protocolo de protección de dispositivos seguros (SDCP) de Microsoft tiene como objetivo abordar estas vulnerabilidades, pero los investigadores descubrieron que algunas Las computadoras portátiles, incluidas Lenovo ThinkPad T14 y Microsoft Surface Type Cover, no utilizaban SDCP en absoluto, lo que las hacía más susceptibles a ataques.

Si tienes un computadora portátil con ventanas, entonces probablemente te hayas topado con Windows Hello. Es un inicio de sesión biométrico que, en computadoras portátiles compatibles, permite a los usuarios iniciar sesión con un escaneo facial, un escaneo del iris o un escaneo de huellas dactilares. Sin embargo, en el caso de utilizar una huella digital para acceder a su computadora portátil, tenga cuidado: los investigadores de Blackwing HQ han omitido Windows Hello en tres computadoras portátiles diferentes de Dell, Lenovo y Microsoft.

Hablando en la conferencia BlueHat de Microsoft en Redmond, Washington, Jesse D'Aguanno y Timo Teräs demostrado cómo habían logrado eludir Windows Hello en Dell Inspiron 15, Lenovo ThinkPad T14s y Microsoft Surface Pro Type Cover con Fingerprint ID (para Surface Pro 8/X). Esto significaba que podían obtener acceso a la cuenta del usuario y a sus datos como si fueran un usuario normal. Además, los sensores utilizados en estos tres dispositivos son de Goodix, Synaptics y ELAN respectivamente. lo que significa que estas vulnerabilidades no se limitan a un solo fabricante de escáner de huellas digitales o computadora portátil OEM.

Match on Chip, SDCP y cómo los fabricantes de portátiles se equivocaron

En primer lugar, es imperativo comprender cómo funcionan estos escáneres de huellas dactilares e interoperan con el sistema anfitrión. Los tres escáneres de huellas dactilares utilizan la tecnología "Match on Chip" (MoC), lo que significa que incluyen su propio microprocesador y almacenamiento. Toda la verificación de huellas dactilares se realiza en este chip, incluida la comparación con la base de datos de "plantillas de huellas dactilares"; los datos biométricos que obtiene el sensor de huellas dactilares. Esto garantiza que incluso si la máquina host se ve comprometida (en este caso, la propia computadora portátil), los datos biométricos no estén en riesgo.

Otro beneficio de MoC es que evita que un atacante comprometa un sensor falsificado y envíe datos biométricos al sistema host. Sin embargo, no impide que un sensor malicioso se haga pasar por uno legítimo y le indique al sistema que el usuario se ha autenticado. Tampoco puede evitar ataques de repetición, en los que un atacante interceptaría un intento de inicio de sesión válido y luego lo "reproduciría" en el sistema host. Windows Hello Advanced Sign-in Security (ESS) requiere el uso de sensores MoC, pero ya se pueden ver varias formas en que los atacantes creativos pueden intentar ingresar a la computadora portátil de un usuario. Es por eso que Microsoft desarrolló SDCP, el protocolo de protección segura de dispositivos.

SDCP tiene los siguientes objetivos:

1. Garantizar que el dispositivo de huellas dactilares sea confiable
2. Garantizar que el dispositivo de huellas dactilares esté en buen estado
3. Protección de la entrada entre el dispositivo de huellas dactilares y el host

SDCP es una doctrina que establece que si el sistema acepta un inicio de sesión biométrico, puede hacerlo asumiendo que el propietario del dispositivo estaba físicamente presente en el momento del inicio de sesión. Funcionando en una cadena de confianza, tiene como objetivo responder las siguientes preguntas sobre el sensor que se utiliza:

1. ¿Puede el anfitrión confiar en que está hablando con un dispositivo genuino?
2. ¿Puede el anfitrión confiar en que el dispositivo no ha sido pirateado ni modificado?
3. ¿Están protegidos los datos provenientes del dispositivo?

Es por eso que SDCP crea un canal de un extremo a otro entre el host y el sensor de huellas digitales. Esto aprovecha el arranque seguro, que garantiza que un certificado específico del modelo y una clave privada sirvan como una cadena de confianza para verificar que todas las comunicaciones no hayan sido alteradas. Aún se puede utilizar el firmware comprometido, pero el sistema sabrá que ha sido comprometido y modificado, y los investigadores notaron que todos los dispositivos probados también firmaron su firmware para evitar manipulación.

Todo lo anterior suena bien y SDCP como concepto es una excelente característica de seguridad que los OEM deberían utilizar. Como resultado, los investigadores se sorprendieron cuando el Lenovo ThinkPad T14s y la Microsoft Surface Type Cover no utilizaron SDCP en absoluto.

Para citar a los investigadores de Blackwing HQ:

"Microsoft hizo un buen trabajo al diseñar SDCP para proporcionar un canal seguro entre el host y los dispositivos biométricos, pero desafortunadamente los fabricantes de dispositivos parecen malinterpretar algunos de los objetivos. Además, SDCP solo cubre un alcance muy limitado del funcionamiento de un dispositivo típico, mientras que la mayoría de los dispositivos tienen expuesta una superficie de ataque considerable que no está cubierta por SDCP en absoluto.

Finalmente, descubrimos que SDCP ni siquiera estaba habilitado en dos de cada tres de los dispositivos a los que nos dirigimos".

Atacando a Dell, Lenovo y Surface

En el caso del Dell Inspiron 15, los investigadores descubrieron que podían registrar una huella digital a través de Linux, que a su vez no utilizaría SDCP. Si bien resulta que el sensor almacena dos bases de datos de huellas dactilares tanto para Linux como para Windows (garantizando así que SDCP solo se use en Windows y un usuario no pueda inscribirse en Linux para iniciar sesión en Windows) es posible interceptar la conexión entre el sensor y el host para indicarle al sensor que use la base de datos de Linux, a pesar de que la máquina se haya iniciado Ventanas.

Todo esto fue posible gracias a un paquete no autenticado que verificaba el sistema operativo iniciado y podía ser secuestrado para apuntar a la base de datos de Linux. Requería usar una Raspberry Pi 4 para inscribir a los usuarios en la base de datos de Linux y conectarse al sensor manualmente, pero funcionó y permitió a los investigadores iniciar sesión en el sistema Windows mientras usaban cualquier huella digital, manteniendo el SDCP intacto.

En el caso del Lenovo ThinkPad T14s, requirió la ingeniería inversa de una pila TLS personalizada que asegurara la comunicación entre el host y el sensor, omitiendo el SDCP por completo. La clave utilizada para cifrar esa comunicación resultó ser una combinación del producto de la máquina. nombre y número de serie, y explotación simplemente debido a un "problema de ingeniería", como expresaron los investigadores él.

Una vez que la huella digital del atacante pudo inscribirse por la fuerza en la lista de identificaciones válidas, fue posible iniciar Windows y usar la huella digital del atacante para iniciar sesión en el sistema.

El peor y más atroz de los tres proviene del sensor de huellas dactilares de Microsoft Surface Cover de ELAN. No hay SDCP, se comunica a través de USB en texto claro y no hace ningún esfuerzo por autenticar al usuario. La única verificación de autenticación que realiza es una verificación con el sistema host para ver si la cantidad de huellas digitales registradas en el host coincide con el número que tiene el sensor. Esto aún puede evitarse fácilmente con un sensor falso que pregunte al sensor real cuántas huellas digitales están registradas.

¿Qué puedes hacer?

Si posee una de estas computadoras portátiles afectadas, tenga la seguridad de que es muy poco probable que le suceda un ataque como este. Estos son ataques altamente especializados que requieren mucho esfuerzo por parte del atacante y también necesitan acceso físico a su computadora portátil. Si eso es un problema, entonces la mejor manera de avanzar es actualizar a una computadora portátil más segura o al menos desactivar Windows Hello por completo.

Con suerte, deshabilitar Windows Hello debería ser suficiente, ya que requerirá que inicies sesión manualmente y el sistema no esperará que un sensor de huellas digitales inicie sesión en absoluto. Sin embargo, si aún no confías en tu computadora portátil, entonces comprar uno nuevo puede ser una buena idea.