Otentikasi sidik jari Microsoft Windows Hello dilewati pada laptop Dell, Lenovo, dan Surface

KomputasiNov 22, 2023
click fraud protection

Jika Anda pernah mendengar bahwa para peneliti mengabaikan Windows Hello di laptop Dell, Lenovo, dan Surface, inilah semua yang perlu Anda ketahui.

Poin Penting

  • Para peneliti telah berhasil melewati Windows Hello di laptop Dell, Lenovo, dan Microsoft, menyoroti kerentanan dalam teknologi pemindaian sidik jari.
  • Sensor sidik jari pada laptop ini menggunakan teknologi "Match on Chip" untuk melakukan verifikasi biometrik pada mikroprosesornya sendiri, namun hal ini tidak secara inheren mencegah serangan spoofing.
  • Secure Device Protection Protocol (SDCP) Microsoft bertujuan untuk mengatasi kerentanan ini, namun para peneliti menemukan beberapa di antaranya laptop, termasuk Lenovo ThinkPad T14s dan Microsoft Surface Type Cover, tidak menggunakan SDCP sama sekali, sehingga membuatnya lebih rentan terhadap serangan.

Jika Anda memiliki laptop Windows, maka Anda mungkin pernah menemukan Windows Hello. Ini adalah login biometrik yang pada laptop yang didukung, memungkinkan pengguna untuk login dengan pemindaian wajah, pemindaian iris mata, atau pemindaian sidik jari. Namun, jika menggunakan sidik jari untuk masuk ke laptop Anda, berhati-hatilah: peneliti dari Blackwing HQ telah melewati Windows Hello di tiga laptop berbeda dari Dell, Lenovo, dan Microsoft.

Berbicara di konferensi BlueHat Microsoft di Redmond, Washington, Jesse D'Aguanno dan Timo Teräs didemonstrasikan bagaimana mereka berhasil melewati Windows Hello di Dell Inspiron 15, Lenovo ThinkPad T14s, dan Microsoft Surface Pro Type Cover dengan Fingerprint ID (untuk Surface Pro 8/X). Ini berarti mereka dapat memperoleh akses ke akun pengguna dan data pengguna seolah-olah mereka adalah pengguna biasa. Selanjutnya sensor yang digunakan pada ketiga perangkat ini masing-masing berasal dari Goodix, Synaptics, dan ELAN, artinya kerentanan ini tidak terbatas pada satu produsen pemindai sidik jari atau laptop saja OEM.

Kecocokan pada Chip, SDCP, dan bagaimana produsen laptop melakukan kesalahan

Surface Pro 7+ Dengan Keyboard Penutup Tipe Hitam

Pertama dan terpenting, penting untuk memahami cara kerja pemindai sidik jari ini dan berinteroperasi dengan sistem host. Ketiga pemindai sidik jari tersebut menggunakan teknologi "Match on Chip" (MoC), yang berarti mereka mengemas mikroprosesor dan penyimpanannya sendiri. Semua verifikasi sidik jari dilakukan pada chip ini, termasuk perbandingan dengan database "templat sidik jari"; data biometrik yang diperoleh sensor sidik jari. Hal ini memastikan bahwa meskipun mesin host disusupi (dalam hal ini, laptop itu sendiri), data biometrik tidak berisiko.

Manfaat lain dari MoC adalah mencegah penyerang menyusupi sensor palsu dan mengirimkan data biometrik ke sistem host. Namun, hal ini tidak mencegah sensor berbahaya untuk berpura-pura menjadi sensor yang sah, dan memberi tahu sistem bahwa pengguna telah mengautentikasi. Hal ini juga tidak dapat mencegah serangan replay, dimana penyerang akan mencegat upaya login yang valid dan kemudian "memutar ulang" kembali ke sistem host. Windows Hello Advanced Sign-in Security (ESS) memerlukan penggunaan sensor MoC, tetapi Anda sudah dapat melihat sejumlah cara yang mungkin dilakukan penyerang kreatif untuk mencoba masuk ke laptop pengguna. Itu sebabnya Microsoft mengembangkan SDCP, Protokol Perlindungan Perangkat Aman.

SDCP memiliki tujuan sebagai berikut:

  1. Memastikan perangkat sidik jari tepercaya
  2. Memastikan perangkat sidik jari dalam keadaan sehat
  3. Melindungi input antara perangkat sidik jari dan host

SDCP adalah doktrin yang menyatakan jika sistem menerima login biometrik, sistem dapat melakukannya dengan asumsi bahwa pemilik perangkat hadir secara fisik pada saat login. Berfungsi berdasarkan rantai kepercayaan, ini bertujuan untuk menjawab pertanyaan-pertanyaan berikut tentang sensor yang digunakan:

  1. Bisakah host percaya bahwa ia berbicara dengan perangkat asli?
  2. Bisakah tuan rumah percaya bahwa perangkatnya belum diretas atau dimodifikasi?
  3. Apakah data yang berasal dari perangkat terlindungi?

Inilah sebabnya SDCP menciptakan saluran end-to-end antara host dan sensor sidik jari. Hal ini memanfaatkan Boot Aman, yang memastikan sertifikat khusus model dan kunci pribadi berfungsi sebagai rantai kepercayaan untuk memverifikasi bahwa semua komunikasi tidak terganggu. Firmware yang telah disusupi masih dapat digunakan, namun sistem akan mengetahui bahwa firmware tersebut telah disusupi dan dimodifikasi, dan para peneliti mencatat bahwa semua perangkat yang diuji juga menandatangani firmware mereka untuk mencegahnya gangguan.

Semua hal di atas terdengar bagus, dan SDCP sebagai sebuah konsep adalah fitur keamanan hebat yang harus digunakan oleh OEM. Hasilnya, para peneliti terkejut ketika Lenovo ThinkPad T14s dan Microsoft Surface Type Cover tidak menggunakan SDCP sama sekali.

Mengutip para peneliti dari Blackwing HQ:

“Microsoft melakukan pekerjaan yang baik dalam merancang SDCP untuk menyediakan saluran aman antara host dan perangkat biometrik, namun sayangnya produsen perangkat tampaknya salah memahami beberapa tujuan. Selain itu, SDCP hanya mencakup cakupan yang sangat sempit dari operasi perangkat pada umumnya, sementara sebagian besar perangkat memiliki permukaan serangan yang cukup besar dan tidak tercakup oleh SDCP sama sekali.

Terakhir, kami menemukan bahwa SDCP bahkan tidak diaktifkan pada dua dari tiga perangkat yang kami targetkan."

Menyerang Dell, Lenovo, dan Surface

Dalam kasus Dell Inspiron 15, para peneliti menemukan bahwa mereka dapat mendaftarkan sidik jari melalui Linux, yang pada gilirannya tidak akan menggunakan SDCP. Meskipun ternyata sensor tersebut menyimpan dua database sidik jari untuk Linux dan Windows (sehingga memastikan bahwa SDCP hanya digunakan di Windows, dan pengguna tidak dapat mendaftar di Linux untuk login di Windows) dimungkinkan untuk mencegat koneksi antara sensor dan host untuk memberi tahu sensor agar menggunakan database Linux, meskipun mesin sedang di-boot jendela.

Hal ini dimungkinkan berkat paket tidak diautentikasi yang memeriksa sistem operasi yang di-boot dan dapat dibajak untuk menunjuk ke database Linux. Diperlukan penggunaan Raspberry Pi 4 untuk mendaftarkan pengguna ke database Linux dan menghubungkan ke sensor secara manual, tetapi itu berfungsi dan memungkinkan para peneliti untuk masuk ke sistem Windows sambil menggunakan sidik jari apa pun, sambil tetap menyimpan SDCP utuh.

Sumber: Markas Besar Blackwing

Dalam kasus Lenovo ThinkPad T14s, diperlukan rekayasa terbalik dari tumpukan TLS khusus yang mengamankan komunikasi antara host dan sensor, sehingga melewatkan SDCP sepenuhnya. Kunci yang digunakan untuk mengenkripsi komunikasi tersebut ternyata merupakan kombinasi dari produk mesin tersebut nama dan nomor seri, dan eksploitasi hanya karena "masalah rekayasa" seperti yang diungkapkan para peneliti dia.

Setelah sidik jari penyerang dapat didaftarkan secara paksa ke dalam daftar ID yang valid, maka dimungkinkan untuk melakukan booting ke Windows dan menggunakan sidik jari penyerang untuk masuk ke sistem.

Sumber: Markas Besar Blackwing

Yang terburuk dan paling mengerikan dari ketiganya berasal dari sensor sidik jari Microsoft Surface Cover oleh ELAN. Tidak ada SDCP, ia berkomunikasi melalui USB dalam teks yang jelas, dan tidak ada upaya untuk mengautentikasi pengguna. Satu-satunya pemeriksaan otentikasi yang dilakukan adalah pemeriksaan dengan sistem host untuk melihat apakah jumlah sidik jari yang terdaftar pada host cocok dengan nomor yang dimiliki sensor. Hal ini masih dapat dengan mudah diatasi dengan sensor palsu yang menanyakan sensor sebenarnya berapa banyak sidik jari yang terdaftar.

Apa yang bisa kau lakukan?

Jika Anda memiliki salah satu laptop yang terkena dampak ini, yakinlah bahwa kecil kemungkinan serangan seperti ini akan terjadi pada Anda. Ini adalah serangan yang sangat terspesialisasi yang memerlukan banyak upaya dari pihak penyerang, dan juga memerlukan akses fisik ke laptop Anda. Jika itu merupakan masalah maka cara terbaik adalah mengupgrade ke laptop yang lebih aman atau setidaknya menonaktifkan Windows Hello sepenuhnya.

Menonaktifkan Windows Hello semoga saja sudah cukup, karena Anda harus login secara manual dan sistem tidak akan mengharapkan sensor sidik jari untuk login sama sekali. Namun, jika Anda masih tidak mempercayai laptop Anda mengambil yang baru mungkin merupakan ide yang bagus.