Dell, Lenovo 및 Surface 노트북에서 Microsoft의 Windows Hello 지문 인증이 우회되었습니다.

연구원들이 Dell, Lenovo 및 Surface 노트북에서 Windows Hello를 우회했다는 소식을 들었다면 이것이 바로 여러분이 알아야 할 모든 것입니다.

주요 시사점

  • 연구원들은 Dell, Lenovo 및 Microsoft 노트북에서 Windows Hello를 우회하여 지문 스캔 기술의 취약점을 강조했습니다.
  • 이 노트북의 지문 센서는 "Match on Chip" 기술을 사용하여 자체 마이크로프로세서에서 생체 인식 확인을 수행하지만 본질적으로 스푸핑 공격을 방지하지는 않습니다.
  • Microsoft의 SDCP(Secure Device Protection Protocol)는 이러한 취약점을 해결하는 것을 목표로 하지만 연구원들은 일부 Lenovo ThinkPad T14s 및 Microsoft Surface Type Cover를 포함한 노트북은 SDCP를 전혀 활용하지 않았기 때문에 공격.

당신이 가지고 있다면 윈도우 노트북, 그렇다면 아마도 Windows Hello를 접했을 것입니다. 지원되는 노트북에서 사용자가 얼굴 스캔, 홍채 스캔 또는 지문 스캔을 사용하여 로그인할 수 있는 생체 인식 로그인입니다. 그러나 노트북에 지문을 사용하는 경우 주의하십시오. Blackwing HQ의 연구원들은 Dell, Lenovo 및 Microsoft의 세 가지 노트북에서 Windows Hello를 우회했습니다.

워싱턴 주 레드먼드에서 열린 Microsoft BlueHat 컨퍼런스에서 Jesse D'Aguanno와 Timo Teräs가 연설하고 있습니다. 시연 Dell Inspiron 15, Lenovo ThinkPad T14s 및 지문 ID 기능이 있는 Microsoft Surface Pro 타이핑 커버(Surface Pro 8/X용)에서 Windows Hello를 우회하는 방법을 알아보세요. 이는 그들이 일반 사용자인 것처럼 사용자 계정과 사용자 데이터에 접근할 수 있다는 것을 의미했습니다. 또한, 이 세 가지 장치에 사용되는 센서는 각각 Goodix, Synaptics 및 ELAN의 센서입니다. 이는 이러한 취약점이 단 하나의 지문 스캐너 제조업체나 노트북에만 국한되지 않는다는 것을 의미합니다. OEM.

Match on Chip, SDCP 및 노트북 제조업체가 망친 방법

Surface Pro 7 + 검정색 타이핑 커버 키보드 포함

무엇보다도 이러한 지문 스캐너가 어떻게 작동하고 호스트 시스템과 상호 운용되는지 이해하는 것이 중요합니다. 세 가지 지문 스캐너 모두 "Match on Chip"(MoC) 기술을 사용합니다. 이는 자체 마이크로프로세서와 스토리지를 갖추고 있음을 의미합니다. "지문 템플릿" 데이터베이스와의 비교를 포함하여 모든 지문 확인이 이 칩에서 수행됩니다. 지문 센서가 획득하는 생체 인식 데이터. 이렇게 하면 호스트 시스템(이 경우 노트북 자체)이 손상되더라도 생체 인식 데이터가 위험에 노출되지 않습니다.

MoC의 또 다른 이점은 공격자가 스푸핑된 센서를 손상시키고 생체 인식 데이터를 호스트 시스템으로 보내는 것을 방지한다는 것입니다. 그러나 악의적인 센서가 합법적인 센서인 것처럼 가장하여 사용자가 인증했음을 시스템에 알리는 것을 방지할 수는 없습니다. 또한 공격자가 유효한 로그인 시도를 가로채서 호스트 시스템으로 다시 "재생"하는 재생 공격도 방지할 수 없습니다. Windows Hello ESS(고급 로그인 보안)를 사용하려면 MoC 센서를 사용해야 하지만 창의적인 공격자가 사용자의 노트북에 침입하려고 시도할 수 있는 여러 가지 방법이 이미 확인되었습니다. 이것이 바로 Microsoft가 보안 장치 보호 프로토콜인 SDCP를 개발한 이유입니다.

SDCP의 목표는 다음과 같습니다.

  1. 지문 장치를 신뢰할 수 있는지 확인
  2. 지문 장치가 건강한지 확인
  3. 지문 장치와 호스트 사이의 입력 보호

SDCP는 시스템이 생체 인식 로그인을 허용하는 경우 로그인 시 장치 소유자가 물리적으로 존재했다는 가정 하에 이를 수행할 수 있다는 원칙입니다. 신뢰 체인에서 작동하며 사용되는 센서에 대한 다음 질문에 답하는 것을 목표로 합니다.

  1. 호스트는 자신이 진짜 장치와 통신하고 있다고 믿을 수 있습니까?
  2. 호스트는 기기가 해킹되거나 수정되지 않았다는 것을 신뢰할 수 있습니까?
  3. 장치에서 들어오는 데이터가 보호됩니까?

이것이 SDCP가 호스트와 지문 센서 사이에 종단 간 채널을 생성하는 이유입니다. 이는 모델별 인증서와 개인 키가 신뢰 체인 역할을 하여 모든 통신이 변조되지 않았는지 확인하는 보안 부팅을 활용합니다. 손상된 펌웨어는 계속 사용할 수 있지만 시스템은 해당 펌웨어가 손상된 것을 인식하고 수정되었으며 연구원들은 테스트된 모든 장치도 펌웨어에 서명하여 변조.

위의 모든 내용이 훌륭하게 들리며 개념으로서의 SDCP는 OEM이 사용해야 하는 훌륭한 보안 기능입니다. 그 결과, Lenovo ThinkPad T14s와 Microsoft Surface Type Cover가 SDCP를 전혀 활용하지 않는다는 사실이 연구원들에게 놀라움을 안겨주었습니다.

Blackwing HQ의 연구원들의 말을 인용하자면:

"Microsoft는 호스트와 생체 인식 장치 사이에 보안 채널을 제공하기 위해 SDCP를 훌륭하게 설계했지만 불행하게도 장치 제조업체는 일부 목표를 오해하는 것 같습니다. 또한 SDCP는 일반적인 장치 작동의 매우 좁은 범위만 다루는 반면, 대부분의 장치는 SDCP가 전혀 다루지 않는 상당한 규모의 공격 표면이 노출되어 있습니다.

마지막으로 우리가 목표로 삼은 장치 3개 중 2개에서는 SDCP가 활성화되지 않은 것으로 나타났습니다."

Dell, Lenovo 및 Surface 공격

Dell Inspiron 15의 경우 연구원들은 Linux를 통해 지문을 등록할 수 있으며 결과적으로 SDCP를 사용하지 않는다는 사실을 발견했습니다. 센서는 Linux와 Windows 모두에 대해 두 개의 지문 데이터베이스를 저장하는 것으로 나타났습니다(따라서 SDCP는 Windows에서만 사용되며 사용자는 Windows에 등록할 수 없음). Windows에서 Linux로 로그인) 머신이 부팅되더라도 센서와 호스트 사이의 연결을 가로채서 센서가 Linux 데이터베이스를 사용하도록 지시할 수 있습니다. 윈도우.

이는 부팅된 운영 체제를 확인하고 대신 Linux 데이터베이스를 가리키도록 하이재킹될 수 있는 인증되지 않은 패킷 덕분에 가능했습니다. 사용자를 Linux 데이터베이스에 등록하고 센서에 수동으로 연결하려면 Raspberry Pi 4를 사용해야 했지만 연구원들은 SDCP를 유지하면서 지문을 사용하여 Windows 시스템에 로그인할 수 있었습니다. 손대지 않은.

출처: 블랙윙 HQ

Lenovo ThinkPad T14s의 경우 SDCP를 완전히 건너뛰고 호스트와 센서 간의 통신을 보호하는 맞춤형 TLS 스택의 리버스 엔지니어링이 필요했습니다. 해당 통신을 암호화하는 데 사용된 키는 해당 기기 제품의 조합인 것으로 드러났다. 이름과 일련 번호, 연구원들이 말한 "엔지니어링 문제"로 인한 악용 그것.

공격자의 지문을 유효한 ID 목록에 강제로 등록할 수 있게 되면 Windows로 부팅하여 공격자의 지문을 사용하여 시스템에 로그인하는 것이 가능해졌습니다.

출처: 블랙윙 HQ

세 가지 중 최악이고 가장 심각한 것은 ELAN의 Microsoft Surface Cover 지문 센서에서 비롯됩니다. SDCP가 없고 USB를 통해 일반 텍스트로 통신하며 사용자를 인증하려고 노력하지 않습니다. 유일한 인증 확인은 호스트에 등록된 지문 수가 센서에 있는 수와 일치하는지 확인하기 위해 호스트 시스템을 확인하는 것입니다. 실제 센서에 등록된 지문 수를 묻는 스푸핑 센서를 사용하면 이 문제를 쉽게 피할 수 있습니다.

당신은 무엇을 할 수 있나요?

영향을 받는 노트북 중 하나를 소유하고 있다면 이와 같은 공격이 발생할 가능성은 거의 없습니다. 이는 공격자의 입장에서 많은 노력이 필요한 고도로 전문화된 공격이며 노트북에 대한 물리적 액세스도 필요합니다. 그것이 문제라면 가장 좋은 방법은 더 안전한 노트북으로 업그레이드하거나 최소한 Windows Hello를 완전히 비활성화하는 것입니다.

Windows Hello를 비활성화하면 수동으로 로그인해야 하고 시스템에서는 지문 센서로 로그인할 것을 전혀 기대하지 않으므로 충분할 것입니다. 그래도 여전히 노트북을 신뢰하지 못한다면, 새 것을 사는 게 좋은 생각일지도 몰라.