Microsoft's Windows Hello-vingerafdrukverificatie wordt omzeild op Dell-, Lenovo- en Surface-laptops

ComputerenNov 22, 2023

Als je hebt gehoord dat onderzoekers Windows Hello op Dell-, Lenovo- en Surface-laptops hebben omzeild, is dit alles wat je moet weten.

Belangrijkste leerpunten

  • Onderzoekers zijn erin geslaagd Windows Hello op Dell-, Lenovo- en Microsoft-laptops te omzeilen, waarbij kwetsbaarheden in de vingerafdrukscantechnologie worden benadrukt.
  • De vingerafdruksensoren op deze laptops gebruiken 'Match on Chip'-technologie om biometrische verificatie uit te voeren op hun eigen microprocessors, maar dit voorkomt niet noodzakelijkerwijs spoofing-aanvallen.
  • Het Secure Device Protection Protocol (SDCP) van Microsoft is bedoeld om deze kwetsbaarheden aan te pakken, maar de onderzoekers ontdekten dat sommige dat wel waren laptops, waaronder Lenovo ThinkPad T14s en Microsoft Surface Type Cover, maakten helemaal geen gebruik van SDCP, waardoor ze gevoeliger waren voor aanvallen.

Als je een... hebt Windows-laptop, dan ben je waarschijnlijk Windows Hello tegengekomen. Het is een biometrische login waarmee gebruikers op ondersteunde laptops kunnen inloggen met een gezichtsscan, een irisscan of een vingerafdrukscan. Als u echter een vingerafdruk gebruikt om in uw laptop te komen, wees dan gewaarschuwd: onderzoekers van Blackwing HQ hebben Windows Hello omzeild op drie verschillende laptops van Dell, Lenovo en Microsoft.

Sprekend op de BlueHat-conferentie van Microsoft in Redmond, Washington, Jesse D'Aguanno en Timo Teräs gedemonstreerd hoe ze Windows Hello hadden weten te omzeilen op de Dell Inspiron 15, Lenovo ThinkPad T14s en de Microsoft Surface Pro Type Cover met Fingerprint ID (voor Surface Pro 8/X). Hierdoor konden zij toegang krijgen tot het gebruikersaccount en de gegevens van de gebruiker alsof zij een normale gebruiker waren. Bovendien zijn de sensoren die op deze drie apparaten worden gebruikt respectievelijk van Goodix, Synaptics en ELAN. wat betekent dat deze kwetsbaarheden niet beperkt zijn tot slechts één fabrikant van vingerafdrukscanners of laptop OEM.

Match on Chip, SDCP en hoe laptopfabrikanten het verpesten

Surface Pro 7+ met zwart Type Cover-toetsenbord

Eerst en vooral is het absoluut noodzakelijk om te begrijpen hoe deze vingerafdrukscanners werken en samenwerken met het hostsysteem. Alle drie de vingerafdrukscanners maken gebruik van "Match on Chip" (MoC) -technologie, wat betekent dat ze hun eigen microprocessor en opslag bevatten. Alle vingerafdrukverificatie wordt op deze chip uitgevoerd, inclusief het vergelijken met de database met "vingerafdruksjablonen"; de biometrische gegevens die de vingerafdruksensor verkrijgt. Dit zorgt ervoor dat zelfs als de hostmachine wordt aangetast (in dit geval de laptop zelf), de biometrische gegevens geen gevaar lopen.

Een ander voordeel van MoC is dat het voorkomt dat een aanvaller een vervalste sensor in gevaar brengt en biometrische gegevens naar het hostsysteem verzendt. Het verhindert echter niet dat een kwaadaardige sensor zich voordoet als een legitieme sensor en het systeem vertelt dat de gebruiker zich heeft geverifieerd. Het kan ook geen herhalingsaanvallen voorkomen, waarbij een aanvaller een geldige inlogpoging onderschept en deze vervolgens terugspeelt op het hostsysteem. Windows Hello Advanced Sign-in Security (ESS) vereist het gebruik van MoC-sensoren, maar je kunt al een aantal manieren zien waarop creatieve aanvallers kunnen proberen in de laptop van een gebruiker te komen. Daarom heeft Microsoft SDCP ontwikkeld, het Secure Device Protection Protocol.

SDCP heeft de volgende doelstellingen:

  1. Ervoor zorgen dat het vingerafdrukapparaat vertrouwd wordt
  2. Ervoor zorgen dat het vingerafdrukapparaat gezond is
  3. Beveiliging van de invoer tussen het vingerafdrukapparaat en de host

SDCP is een doctrine die stelt dat als het systeem een ​​biometrische login accepteert, dit kan gebeuren in de veronderstelling dat de eigenaar van het apparaat fysiek aanwezig was op het moment van inloggen. Het functioneert op basis van een vertrouwensketen en heeft tot doel de volgende vragen over de gebruikte sensor te beantwoorden:

  1. Kan de host erop vertrouwen dat hij met een echt apparaat praat?
  2. Kan de host erop vertrouwen dat het apparaat niet is gehackt of aangepast?
  3. Zijn de gegevens afkomstig van het apparaat beschermd?

Dit is de reden waarom SDCP een end-to-end-kanaal creëert tussen de host en de vingerafdruksensor. Hierbij wordt gebruik gemaakt van Secure Boot, dat ervoor zorgt dat een modelspecifiek certificaat en een privésleutel dienen als een vertrouwensketen om te verifiëren dat alle communicatie ongehinderd is verlopen. Gecompromitteerde firmware kan nog steeds worden gebruikt, maar het systeem weet dan dat deze is gecompromitteerd gewijzigd, en de onderzoekers merkten op dat alle geteste apparaten ook hun firmware ondertekenden om dit te voorkomen knoeien.

Al het bovenstaande klinkt goed, en SDCP als concept is een geweldige beveiligingsfunctie die OEM's zouden moeten gebruiken. Het kwam dan ook als een verrassing voor de onderzoekers toen de Lenovo ThinkPad T14s en de Microsoft Surface Type Cover helemaal geen gebruik maakten van SDCP.

Om de onderzoekers van Blackwing HQ te citeren:

"Microsoft heeft SDCP goed ontworpen om een ​​veilig kanaal te bieden tussen de host en biometrische apparaten, maar helaas lijken apparaatfabrikanten sommige doelstellingen verkeerd te begrijpen. Bovendien dekt SDCP slechts een zeer beperkte reikwijdte van de werking van een typisch apparaat, terwijl bij de meeste apparaten een aanzienlijk aanvalsoppervlak wordt blootgesteld dat helemaal niet door SDCP wordt gedekt.

Uiteindelijk ontdekten we dat SDCP niet eens was ingeschakeld op twee van de drie apparaten die we targetten."

Aanval op Dell, Lenovo en Surface

In het geval van de Dell Inspiron 15 ontdekten de onderzoekers dat ze via Linux een vingerafdruk konden registreren, die op zijn beurt geen gebruik zou maken van SDCP. Hoewel het blijkt dat de sensor twee databases met vingerafdrukken opslaat voor zowel Linux als Windows (waardoor SDCP alleen op Windows wordt gebruikt en een gebruiker zich niet kan inschrijven op Linux om in te loggen op Windows) is het mogelijk om de verbinding tussen sensor en host te onderscheppen om de sensor te vertellen de Linux-database te gebruiken, ondanks dat de machine is opgestart Ramen.

Dit was allemaal mogelijk dankzij een niet-geverifieerd pakket dat het opgestarte besturingssysteem controleerde en kon worden gekaapt om in plaats daarvan naar de Linux-database te verwijzen. Het vereiste het gebruik van een Raspberry Pi 4 om gebruikers in de Linux-database in te schrijven en handmatig verbinding te maken met de sensor, maar dat lukte niet werkte en stelde de onderzoekers in staat in te loggen op het Windows-systeem terwijl ze een vingerafdruk gebruikten, terwijl ze nog steeds SDCP behouden intact.

Bron: Blackwing-hoofdkwartier

In het geval van de Lenovo ThinkPad T14s was hiervoor reverse engineering nodig van een aangepaste TLS-stack die de communicatie tussen de host en de sensor beveiligte, waarbij SDCP volledig werd overgeslagen. De sleutel die werd gebruikt om die communicatie te versleutelen bleek een combinatie van het product van de machine te zijn naam en serienummer, en exploitatie simpelweg omdat het een ‘technisch probleem’ is, zoals de onderzoekers het noemden Het.

Zodra de vingerafdruk van de aanvaller met geweld in de lijst met geldige ID's kon worden ingeschreven, was het mogelijk om Windows op te starten en de vingerafdruk van de aanvaller te gebruiken om in te loggen op het systeem.

Bron: Blackwing-hoofdkwartier

De ergste en meest flagrante van de drie komt van de vingerafdruksensor van de Microsoft Surface Cover van ELAN. Er is geen SDCP, het communiceert via USB in duidelijke tekst en het kost geen moeite om de gebruiker te authenticeren. De enige authenticatiecontrole die het uitvoert, is een controle bij het hostsysteem om te zien of het aantal geregistreerde vingerafdrukken op de host overeenkomt met het aantal dat de sensor heeft. Dit kan nog steeds gemakkelijk worden omzeild met een vervalste sensor die aan de echte sensor vraagt ​​hoeveel vingerafdrukken zijn geregistreerd.

Wat kan je doen?

Als u een van deze getroffen laptops bezit, kunt u er zeker van zijn dat het zeer onwaarschijnlijk is dat een dergelijke aanval u zal overkomen. Dit zijn zeer gespecialiseerde aanvallen die veel inspanning vergen van de aanvaller en waarvoor ook fysieke toegang tot uw laptop nodig is. Als dat een probleem is, is de beste manier om te upgraden naar een veiligere laptop of om Windows Hello in ieder geval volledig uit te schakelen.

Het uitschakelen van Windows Hello zou hopelijk voldoende moeten zijn, omdat je dan handmatig moet inloggen en het systeem helemaal niet verwacht dat een vingerafdruksensor inlogt. Als u uw laptop nog steeds niet vertrouwt, dan Een nieuwe halen is wellicht een goed idee.