L'authentification par empreinte digitale Windows Hello de Microsoft contournée sur les ordinateurs portables Dell, Lenovo et Surface

L'informatiqueNov 22, 2023
click fraud protection

Si vous avez entendu dire que des chercheurs ont contourné Windows Hello sur les ordinateurs portables Dell, Lenovo et Surface, voici tout ce que vous devez savoir.

Points clés à retenir

  • Les chercheurs ont réussi à contourner Windows Hello sur les ordinateurs portables Dell, Lenovo et Microsoft, mettant en évidence les vulnérabilités de la technologie de numérisation d'empreintes digitales.
  • Les capteurs d'empreintes digitales de ces ordinateurs portables utilisent la technologie « Match on Chip » pour effectuer une vérification biométrique sur leurs propres microprocesseurs, mais cela n'empêche pas en soi les attaques d'usurpation d'identité.
  • Le protocole SDCP (Secure Device Protection Protocol) de Microsoft vise à remédier à ces vulnérabilités, mais les chercheurs ont découvert que certains les ordinateurs portables, notamment les Lenovo ThinkPad T14 et le Microsoft Surface Type Cover, n'utilisaient pas du tout SDCP, ce qui les rendait plus vulnérables aux attaques.

Si tu as un Ordinateur portable Windows

, alors vous avez probablement rencontré Windows Hello. Il s'agit d'une connexion biométrique qui, sur les ordinateurs portables pris en charge, permet aux utilisateurs de se connecter avec un scan du visage, un scan de l'iris ou un scan des empreintes digitales. Dans le cas de l'utilisation d'une empreinte digitale pour accéder à votre ordinateur portable, soyez prévenu: des chercheurs du siège social de Blackwing ont contourné Windows Hello sur trois ordinateurs portables différents de Dell, Lenovo et Microsoft.

S'exprimant lors de la conférence BlueHat de Microsoft à Redmond, Washington, Jesse D'Aguanno et Timo Teräs démontré comment ils avaient réussi à contourner Windows Hello sur le Dell Inspiron 15, le Lenovo ThinkPad T14 et le Microsoft Surface Pro Type Cover avec identification d'empreinte digitale (pour Surface Pro 8/X). Cela signifiait qu'ils pouvaient accéder au compte utilisateur et aux données de l'utilisateur comme s'il s'agissait d'un utilisateur normal. De plus, les capteurs utilisés sur ces trois appareils proviennent respectivement de Goodix, Synaptics et ELAN, ce qui signifie que ces vulnérabilités ne se limitent pas à un seul fabricant de scanner d'empreintes digitales ou à un seul ordinateur portable. OEM.

Match on Chip, SDCP et comment les fabricants d'ordinateurs portables ont fait des erreurs

Surface Pro 7 + avec clavier Type Cover noir

Avant tout, il est impératif de comprendre comment ces scanners d’empreintes digitales fonctionnent et interagissent avec le système hôte. Les trois scanners d'empreintes digitales utilisent la technologie « Match on Chip » (MoC), ce qui signifie qu'ils contiennent leur propre microprocesseur et leur propre stockage. Toutes les vérifications d'empreintes digitales sont effectuées sur cette puce, y compris la comparaison avec la base de données de « modèles d'empreintes digitales »; les données biométriques obtenues par le capteur d’empreintes digitales. Cela garantit que même si la machine hôte est compromise (dans ce cas, l'ordinateur portable lui-même), les données biométriques ne sont pas menacées.

Un autre avantage du MoC est qu'il empêche un attaquant de compromettre un capteur usurpé et d'envoyer des données biométriques au système hôte. Cependant, cela n'empêche pas un capteur malveillant de se faire passer pour un capteur légitime, indiquant au système que l'utilisateur s'est authentifié. Il ne peut pas non plus empêcher les attaques par rejeu, dans lesquelles un attaquant intercepterait une tentative de connexion valide, puis la « rejouerait » sur le système hôte. Windows Hello Advanced Sign-in Security (ESS) nécessite l'utilisation de capteurs MoC, mais vous pouvez déjà voir un certain nombre de façons par lesquelles des attaquants créatifs peuvent tenter de pénétrer dans l'ordinateur portable d'un utilisateur. C'est pourquoi Microsoft a développé SDCP, le Secure Device Protection Protocol.

SDCP a les objectifs suivants :

  1. S'assurer que le périphérique d'empreintes digitales est fiable
  2. S'assurer que le périphérique d'empreintes digitales est sain
  3. Protection de l'entrée entre le périphérique d'empreinte digitale et l'hôte

SDCP est une doctrine qui stipule que si le système accepte une connexion biométrique, il peut le faire en supposant que le propriétaire de l'appareil était physiquement présent au moment de la connexion. Fonctionnant sur une chaîne de confiance, il vise à répondre aux questions suivantes sur le capteur utilisé :

  1. L'hôte peut-il être sûr qu'il parle à un véritable appareil?
  2. L'hôte peut-il être sûr que l'appareil n'a pas été piraté ou modifié?
  3. Les données provenant de l'appareil sont-elles protégées?

C'est pourquoi SDCP crée un canal de bout en bout entre l'hôte et le capteur d'empreintes digitales. Cela exploite Secure Boot, qui garantit qu'un certificat spécifique au modèle et une clé privée servent de chaîne de confiance pour vérifier que toutes les communications n'ont pas été falsifiées. Un micrologiciel compromis peut toujours être utilisé, mais le système saura qu'il a été compromis et modifié, et les chercheurs ont noté que tous les appareils testés signaient également leur micrologiciel pour empêcher falsification.

Tout ce qui précède semble bon, et SDCP en tant que concept est une excellente fonctionnalité de sécurité que les OEM devraient utiliser. En conséquence, les chercheurs ont été surpris de constater que les Lenovo ThinkPad T14 et le Microsoft Surface Type Cover n'utilisaient pas du tout le SDCP.

Pour citer les chercheurs du QG de Blackwing :

"Microsoft a fait du bon travail en concevant SDCP pour fournir un canal sécurisé entre l'hôte et les appareils biométriques, mais malheureusement les fabricants d'appareils semblent mal comprendre certains des objectifs. De plus, SDCP ne couvre qu’une portée très étroite du fonctionnement d’un appareil typique, alors que la plupart des appareils ont une surface d’attaque importante qui n’est pas du tout couverte par SDCP.

Finalement, nous avons constaté que SDCP n’était même pas activé sur deux appareils sur trois que nous avons ciblés. »

Attaquer Dell, Lenovo et Surface

Dans le cas du Dell Inspiron 15, les chercheurs ont découvert qu'ils pouvaient enregistrer une empreinte digitale via Linux, ce qui n'utiliserait pas SDCP. Bien qu'il s'avère que le capteur stocke deux bases de données d'empreintes digitales pour Linux et Windows (garantissant ainsi que SDCP n'est utilisé que sous Windows et qu'un utilisateur ne peut pas s'inscrire sur Linux pour se connecter sous Windows), il est possible d'intercepter la connexion entre le capteur et l'hôte pour indiquer au capteur d'utiliser la base de données Linux, malgré le démarrage de la machine Les fenêtres.

Tout cela a été possible grâce à un paquet non authentifié qui vérifiait le système d'exploitation démarré et pouvait être détourné pour pointer vers la base de données Linux. Il fallait utiliser un Raspberry Pi 4 pour inscrire les utilisateurs dans la base de données Linux et se connecter manuellement au capteur, mais cela a fonctionné et a permis aux chercheurs de se connecter au système Windows en utilisant n'importe quelle empreinte digitale, tout en conservant SDCP intact.

Source: QG de Blackwing

Dans le cas des Lenovo ThinkPad T14, cela nécessitait l'ingénierie inverse d'une pile TLS personnalisée sécurisant la communication entre l'hôte et le capteur, en ignorant complètement le SDCP. La clé utilisée pour chiffrer cette communication s’est avérée être une combinaison du produit de la machine nom et numéro de série, et l'exploitation simplement parce qu'il s'agit d'un "problème d'ingénierie", comme le disent les chercheurs. il.

Une fois que l'empreinte digitale de l'attaquant pouvait être inscrite de force dans la liste des identifiants valides, il était alors possible de démarrer Windows et d'utiliser l'empreinte digitale de l'attaquant pour se connecter au système.

Source: QG de Blackwing

Le pire et le plus flagrant des trois vient du capteur d'empreintes digitales du Microsoft Surface Cover d'ELAN. Il n'y a pas de SDCP, il communique via USB en texte clair et ne fait aucun effort pour authentifier l'utilisateur. La seule vérification d'authentification effectuée est une vérification auprès du système hôte pour voir si le nombre d'empreintes digitales enregistrées sur l'hôte correspond au numéro dont dispose le capteur. Cela peut toujours être facilement contourné avec un capteur usurpé demandant au capteur réel combien d’empreintes digitales sont enregistrées.

Que pouvez-vous faire?

Si vous possédez l'un de ces ordinateurs portables concernés, soyez assuré qu'il est très peu probable qu'une telle attaque vous arrive. Il s’agit d’attaques hautement spécialisées qui nécessitent beaucoup d’efforts de la part de l’attaquant, et qui nécessitent également un accès physique à votre ordinateur portable. Si cela pose un problème, la meilleure solution consiste soit à passer à un ordinateur portable plus sécurisé, soit au moins à désactiver complètement Windows Hello.

Nous espérons que la désactivation de Windows Hello devrait suffire, car cela vous obligera à vous connecter manuellement et le système ne s'attendra pas du tout à ce qu'un capteur d'empreintes digitales se connecte. Si vous ne faites toujours pas confiance à votre ordinateur portable, alors en acheter un nouveau pourrait être une bonne idée.