A Microsoft Windows Hello ujjlenyomat-hitelesítését megkerülték a Dell, Lenovo és Surface laptopokon

SzámítástechnikaNov 22, 2023
click fraud protection

Ha hallott már arról, hogy a kutatók megkerülték a Windows Hello-t Dell, Lenovo és Surface laptopokon, ez minden, amit tudnia kell.

Kulcs elvitelek

  • A kutatóknak sikerült megkerülniük a Windows Hello-t Dell, Lenovo és Microsoft laptopokon, rávilágítva az ujjlenyomat-szkennelési technológia sebezhetőségeire.
  • Ezeknek a laptopoknak az ujjlenyomat-érzékelői a "Match on Chip" technológiát használják saját mikroprocesszoraikon biometrikus ellenőrzés elvégzésére, de ez önmagában nem akadályozza meg a hamisítási támadásokat.
  • A Microsoft Secure Device Protection Protocol (SDCP) célja ezeknek a sebezhetőségeknek a kiküszöbölése, de a kutatók azt találták, hogy néhány laptopok, köztük a Lenovo ThinkPad T14 és a Microsoft Surface Type Cover, egyáltalán nem használták az SDCP-t, így érzékenyebbek voltak a támadások.

Ha van a Windows laptop, akkor valószínűleg találkozott már a Windows Hello szolgáltatással. Ez egy biometrikus bejelentkezés, amely a támogatott laptopokon lehetővé teszi a felhasználók számára, hogy arc-, írisz- vagy ujjlenyomat-szkenneléssel jelentkezzenek be. Arra az esetre, ha ujjlenyomatot használnak a laptopba való bejutáshoz, vegye figyelembe: a Blackwing HQ kutatói három különböző Dell, Lenovo és Microsoft laptopon megkerülték a Windows Hello-t.

Jesse D'Aguanno és Timo Teräs felszólal a Microsoft BlueHat konferenciáján Redmondban, Washingtonban igazolták hogyan sikerült megkerülniük a Windows Hello-t a Dell Inspiron 15-ön, a Lenovo ThinkPad T14-eken és a Microsoft Surface Pro Type Cover ujjlenyomat-azonosítóval (Surface Pro 8/X esetén). Ez azt jelentette, hogy normál felhasználóként hozzáférhettek a felhasználói fiókhoz és a felhasználó adataihoz. Ezenkívül a három eszközön használt szenzorok a Goodix, a Synaptics és az ELAN érzékelői. Ez azt jelenti, hogy ezek a sérülékenységek nem korlátozódnak egyetlen ujjlenyomat-leolvasó gyártóra vagy laptopra OEM.

Mérje meg a chipet, az SDCP-t és azt, hogy a laptopgyártók hogyan rontottak el

Surface Pro 7+ fekete borítós billentyűzettel

Mindenekelőtt elengedhetetlen annak megértése, hogy ezek az ujjlenyomat-leolvasók hogyan működnek, és hogyan működnek együtt a gazdarendszerrel. Mindhárom ujjlenyomat-leolvasó "Match on Chip" (MoC) technológiát használ, ami azt jelenti, hogy saját mikroprocesszort és tárolót csomagolnak. Minden ujjlenyomat-ellenőrzés ezen a chipen történik, beleértve az "ujjlenyomat-sablonok" adatbázisával való összehasonlítást is; az ujjlenyomat-érzékelő által megszerzett biometrikus adatok. Ez biztosítja, hogy még ha a gazdagépet (jelen esetben magát a laptopot) is feltörik, a biometrikus adatok nincsenek veszélyben.

A MoC másik előnye, hogy megakadályozza, hogy a támadó feltörjön egy meghamisított érzékelőt, és biometrikus adatokat küldjön a gazdarendszernek. Ez azonban nem akadályozza meg, hogy egy rosszindulatú érzékelő törvényes érzékelőnek adja ki magát, és közölje a rendszerrel, hogy a felhasználó hitelesítette. Nem tudja megakadályozni az újrajátszható támadásokat sem, amikor a támadó elfog egy érvényes bejelentkezési kísérletet, majd „visszajátssza” azt a gazdagép rendszerbe. A Windows Hello Advanced Sign-in Security (ESS) megköveteli a MoC-érzékelők használatát, de már most is számos olyan módot láthatunk, amellyel kreatív támadók megpróbálhatnak bejutni a felhasználó laptopjába. A Microsoft ezért fejlesztette ki az SDCP-t, a Secure Device Protection Protocol-t.

Az SDCP céljai a következők:

  1. Az ujjlenyomat-eszköz megbízhatóságának biztosítása
  2. Győződjön meg arról, hogy az ujjlenyomat-eszköz egészséges
  3. Az ujjlenyomat-eszköz és a gazdagép közötti bemenet védelme

Az SDCP egy olyan doktrína, amely kimondja, hogy ha a rendszer elfogad biometrikus bejelentkezést, akkor ezt megteheti azzal a feltételezéssel, hogy az eszköz tulajdonosa fizikailag jelen volt a bejelentkezéskor. A bizalmi láncon működik, és a következő kérdésekre kíván választ adni a használt érzékelővel kapcsolatban:

  1. Bízhat-e a fogadó abban, hogy eredeti eszközhöz beszél?
  2. Bízhat-e a gazdagép abban, hogy az eszközt nem törték fel vagy módosították?
  3. Az eszközről érkező adatok védettek?

Ez az oka annak, hogy az SDCP végpontok közötti csatornát hoz létre a gazdagép és az ujjlenyomat-érzékelő között. Ez kihasználja a Secure Boot funkciót, amely biztosítja, hogy egy modellspecifikus tanúsítvány és egy privát kulcs bizalmi láncként szolgáljon annak ellenőrzésére, hogy a kommunikáció zavartalan-e. A kompromittált firmware továbbra is használható, de a rendszer tudni fogja, hogy feltörték, és módosították, és a kutatók megjegyezték, hogy az összes tesztelt eszköz firmware-jét is aláírta a megelőzés érdekében manipulálás.

A fentiek mindegyike jól hangzik, és az SDCP mint koncepció egy nagyszerű biztonsági funkció, amelyet az OEM-eknek használniuk kell. Ennek eredményeként meglepetésként érte a kutatókat, hogy a Lenovo ThinkPad T14s és a Microsoft Surface Type Cover egyáltalán nem használta az SDCP-t.

A Blackwing főhadiszállásának kutatóit idézve:

"A Microsoft jó munkát végzett az SDCP megtervezésével, hogy biztonságos csatornát biztosítson a gazdagép és a biometrikus eszközök között, de sajnos úgy tűnik, hogy az eszközgyártók félreértik egyes célokat. Ezenkívül az SDCP egy tipikus eszköz működésének csak nagyon szűk körét fedi le, míg a legtöbb eszköznek van egy jókora támadási felülete, amelyet egyáltalán nem fed le az SDCP.

Végül azt találtuk, hogy az általunk megcélzott három eszköz közül kettőn az SDCP nem is volt engedélyezve."

A Dell, a Lenovo és a Surface megtámadása

A Dell Inspiron 15 esetében a kutatók azt találták, hogy Linuxon keresztül is regisztrálhattak ujjlenyomatot, ami viszont nem használja az SDCP-t. Miközben kiderült, hogy az érzékelő két ujjlenyomat-adatbázist tárol Linux és Windows rendszeren is (ezáltal biztosítja, hogy az SDCP-t csak Windowson használják, és a felhasználó ne regisztráljon Linux a Windows rendszerbe való bejelentkezéshez) lehetséges az érzékelő és a gazdagép közötti kapcsolat elfogása, hogy az érzékelőt a Linux adatbázis használatára utasítsa, annak ellenére, hogy a gép be van indítva. Ablakok.

Ez mind lehetséges volt egy nem hitelesített csomagnak köszönhetően, amely ellenőrizte a beindított operációs rendszert, és eltéríthető volt, hogy helyette a Linux adatbázisra mutasson. A felhasználóknak a Linux adatbázisba való regisztrálásához és az érzékelőhöz való manuális csatlakozáshoz Raspberry Pi 4-et kellett használni, de működött, és lehetővé tette a kutatóknak, hogy bármilyen ujjlenyomat használata mellett bejelentkezzenek a Windows rendszerbe, miközben továbbra is megtartották az SDCP-t ép.

Forrás: Blackwing HQ

A Lenovo ThinkPad T14s esetében szükség volt egy egyedi TLS-verem visszafejtésére, amely biztosítja a kommunikációt a gazdagép és az érzékelő között, az SDCP teljes kihagyásával. Kiderült, hogy a kommunikáció titkosításához használt kulcs a gép termékének kombinációja név és sorozatszám, valamint a kiaknázás egyszerűen azért, mert „mérnöki probléma”, ahogy a kutatók megfogalmazták azt.

Miután a támadó ujjlenyomata erőszakkal bekerült az érvényes azonosítók listájába, lehetséges volt a Windows rendszerindítása, és a támadó ujjlenyomata segítségével bejelentkezni a rendszerbe.

Forrás: Blackwing HQ

A három közül a legrosszabb és legborzasztóbb a Microsoft Surface Cover ELAN ujjlenyomat-érzékelőjéből származik. Nincs SDCP, USB-n keresztül tiszta szöveggel kommunikál, és nem törekszik a felhasználó hitelesítésére. Az egyetlen hitelesítési ellenőrzés, amelyet a gazdarendszerrel végez, hogy ellenőrizze, hogy a gazdagépen regisztrált ujjlenyomatok száma megegyezik-e az érzékelő számával. Ez továbbra is könnyen kiküszöbölhető egy hamisított érzékelővel, amely megkérdezi a valódi érzékelőt, hogy hány ujjlenyomat van rögzítve.

Mit tudsz csinálni?

Ha Ön az érintett laptopok egyikének tulajdonosa, biztos lehet benne, hogy nagyon valószínűtlen, hogy ilyen támadás érné Önt. Ezek rendkívül speciális támadások, amelyek sok erőfeszítést igényelnek a támadótól, és fizikai hozzáférést is igényelnek a laptophoz. Ha ez probléma, akkor a legjobb megoldás az, ha biztonságosabb laptopra frissít, vagy legalább teljesen letiltja a Windows Hello-t.

A Windows Hello letiltása remélhetőleg elég lesz, mert ehhez manuálisan kell bejelentkezni, és a rendszer egyáltalán nem várja el az ujjlenyomat-érzékelőtől a bejelentkezést. Ha azonban még mindig nem bízik a laptopjában, akkor jó ötlet lehet újat venni.