Autentificarea cu amprentă Windows Hello de la Microsoft a fost ocolită pe laptopurile Dell, Lenovo și Surface

Tehnica De CalculNov 22, 2023
click fraud protection

Dacă ați auzit că cercetătorii au ocolit Windows Hello pe laptopurile Dell, Lenovo și Surface, acesta este tot ce trebuie să știți.

Recomandări cheie

  • Cercetătorii au reușit să ocolească Windows Hello pe laptopurile Dell, Lenovo și Microsoft, evidențiind vulnerabilități în tehnologia de scanare a amprentelor.
  • Senzorii de amprentă de pe aceste laptopuri folosesc tehnologia „Match on Chip” pentru a efectua verificarea biometrică pe propriile microprocesoare, dar acest lucru nu previne în mod inerent atacurile de falsificare.
  • Protocolul Secure Device Protection Protocol (SDCP) de la Microsoft își propune să abordeze aceste vulnerabilități, dar cercetătorii au descoperit că unele laptopurile, inclusiv Lenovo ThinkPad T14s și Microsoft Surface Type Cover, nu utilizau deloc SDCP, lăsându-le mai susceptibile la atacuri.

Daca ai un Laptop Windows, atunci probabil că ați întâlnit Windows Hello. Este o autentificare biometrică care, pe laptop-urile acceptate, permite utilizatorilor să se autentifice fie cu o scanare facială, fie cu o scanare a irisului, fie cu o scanare a amprentei. În cazul utilizării unei amprente pentru a intra în laptop, fiți avertizat: cercetătorii de la Blackwing HQ au ocolit Windows Hello pe trei laptop-uri diferite de la Dell, Lenovo și Microsoft.

Vorbind la conferința BlueHat de la Microsoft de la Redmond, Washington, Jesse D'Aguanno și Timo Teräs demonstrat cum au reușit să ocolească Windows Hello pe Dell Inspiron 15, Lenovo ThinkPad T14s și Microsoft Surface Pro Type Cover cu Fingerprint ID (pentru Surface Pro 8/X). Acest lucru a însemnat că au putut să obțină acces la contul de utilizator și la datele utilizatorului ca și cum ar fi un utilizator normal. În plus, senzorii utilizați pe aceste trei dispozitive sunt de la Goodix, Synaptics și, respectiv, ELAN, ceea ce înseamnă că aceste vulnerabilități nu se limitează la un singur producător de scaner de amprente sau laptop OEM.

Se potrivesc pe Chip, SDCP și cum au dat peste cap producătorii de laptopuri

Surface Pro 7 + cu tastatură cu capac de tip negru

În primul rând, este imperativ să înțelegeți cum funcționează aceste scanere de amprente și cum interoperează cu sistemul gazdă. Toate cele trei scanere de amprentă folosesc tehnologia „Match on Chip” (MoC), ceea ce înseamnă că își ambalează propriul microprocesor și stocare. Toate verificările de amprentă sunt efectuate pe acest cip, inclusiv compararea cu baza de date de „șabloane de amprentă”; datele biometrice pe care le obține senzorul de amprentă. Acest lucru asigură că, chiar dacă mașina gazdă este compromisă (în acest caz, laptopul însuși), datele biometrice nu sunt în pericol.

Un alt beneficiu al MoC este că împiedică atacatorul să compromită un senzor falsificat și să trimită date biometrice către sistemul gazdă. Cu toate acestea, nu împiedică un senzor rău intenționat să pretindă a fi unul legitim, spunând sistemului că utilizatorul s-a autentificat. De asemenea, nu poate preveni atacurile de reluare, în cazul în care un atacator ar intercepta o încercare validă de conectare și apoi o „reda” înapoi în sistemul gazdă. Windows Hello Advanced Sign-in Security (ESS) necesită utilizarea senzorilor MoC, dar puteți vedea deja o serie de moduri prin care atacatorii creativi pot încerca să intre în laptopul unui utilizator. De aceea, Microsoft a dezvoltat SDCP, Secure Device Protection Protocol.

SDCP are următoarele obiective:

  1. Asigurarea că dispozitivul de amprentă este de încredere
  2. Asigurarea că dispozitivul de amprentă este sănătos
  3. Protejarea intrării între dispozitivul de amprentă și gazdă

SDCP este o doctrină care afirmă că dacă sistemul acceptă o conectare biometrică, poate face acest lucru presupunând că proprietarul dispozitivului era prezent fizic în momentul autentificării. Funcționând pe un lanț de încredere, își propune să răspundă la următoarele întrebări despre senzorul utilizat:

  1. Poate gazda să aibă încredere că vorbește cu un dispozitiv autentic?
  2. Poate gazda să aibă încredere că dispozitivul nu a fost piratat sau modificat?
  3. Datele care provin de la dispozitiv sunt protejate?

Acesta este motivul pentru care SDCP creează un canal end-to-end între gazdă și senzorul de amprentă. Acest lucru folosește Secure Boot, care asigură că un certificat specific modelului și o cheie privată servesc drept lanț de încredere pentru a verifica că toate comunicațiile au fost nemodificate. Firmware-ul compromis poate fi folosit în continuare, dar sistemul va ști că a fost compromis și modificat, iar cercetătorii au remarcat că toate dispozitivele testate și-au semnat și firmware-ul pentru a preveni manipularea.

Toate cele de mai sus sună bine, iar SDCP ca concept este o caracteristică de securitate excelentă pe care OEM-urile ar trebui să o folosească. Ca rezultat, a fost o surpriză pentru cercetători când Lenovo ThinkPad T14s și Microsoft Surface Type Cover nu au folosit deloc SDCP.

Pentru a cita cercetătorii de la sediul Blackwing:

„Microsoft a făcut o treabă bună în proiectarea SDCP pentru a oferi un canal securizat între gazdă și dispozitivele biometrice, dar, din păcate, producătorii de dispozitive par să înțeleagă greșit unele dintre obiective. În plus, SDCP acoperă doar o sferă foarte restrânsă de funcționare a unui dispozitiv tipic, în timp ce majoritatea dispozitivelor au o suprafață de atac considerabilă expusă, care nu este deloc acoperită de SDCP.

În cele din urmă, am descoperit că SDCP nici măcar nu a fost activat pe două din trei dintre dispozitivele pe care le-am vizat.”

Atacă Dell, Lenovo și Surface

În cazul Dell Inspiron 15, cercetătorii au descoperit că ar putea înregistra o amprentă prin Linux, care, la rândul său, nu ar folosi SDCP. În timp ce se dovedește că senzorul stochează două baze de date de amprente atât pentru Linux, cât și pentru Windows (asigurându-se, prin urmare, că SDCP este utilizat numai pe Windows și un utilizator nu se poate înscrie pe Linux pentru a vă conecta pe Windows) este posibil să interceptați conexiunea dintre senzor și gazdă pentru a spune senzorului să folosească baza de date Linux, în ciuda faptului că mașina este pornită în Windows.

Totul a fost posibil datorită unui pachet neautentificat care a verificat sistemul de operare pornit și a putut fi deturnat pentru a indica baza de date Linux. A necesitat utilizarea unui Raspberry Pi 4 pentru a înscrie utilizatorii în baza de date Linux și conectarea manuală la senzor, dar a funcționat și a permis cercetătorilor să se conecteze la sistemul Windows folosind orice amprentă, păstrând în același timp SDCP intact.

Sursa: Blackwing HQ

În cazul Lenovo ThinkPad T14s, a necesitat inginerie inversă a unei stive TLS personalizate care securiza comunicarea între gazdă și senzor, sărind cu totul SDCP. Cheia folosită pentru a cripta comunicarea sa dovedit a fi o combinație a produsului aparatului numele și numărul de serie și exploatarea pur și simplu din cauza unei „probleme de inginerie”, după cum spun cercetătorii aceasta.

Odată ce amprenta atacatorului a putut fi înscrisă forțat în lista de ID-uri valide, a fost posibil să pornești apoi în Windows și să folosești amprenta atacatorului pentru a te autentifica la sistem.

Sursa: Blackwing HQ

Cel mai rău și mai flagrant dintre cele trei vine de la senzorul de amprentă al Microsoft Surface Cover de la ELAN. Nu există SDCP, comunică prin USB în text clar și nu face niciun efort pentru a autentifica utilizatorul. Singura verificare de autentificare pe care o face este o verificare cu sistemul gazdă pentru a vedea dacă numărul de amprente digitale înregistrate pe gazdă se potrivește cu numărul pe care îl are senzorul. Acest lucru poate fi încă ușor depășit cu un senzor falsificat care cere senzorului real câte amprente sunt înregistrate.

Ce poti face?

Dacă dețineți unul dintre aceste laptopuri afectate, fiți siguri că este foarte puțin probabil să vi se întâmple vreun astfel de atac. Acestea sunt atacuri foarte specializate care necesită mult efort din partea atacatorului și au nevoie și de acces fizic la laptopul tău. Dacă aceasta este o problemă, atunci cea mai bună cale este fie să faceți upgrade la un laptop mai sigur, fie să dezactivați complet Windows Hello.

Dezactivarea Windows Hello ar trebui să fie suficientă, deoarece vă va necesita să vă conectați manual, iar sistemul nu se va aștepta deloc să se conecteze la un senzor de amprentă. Dacă tot nu ai încredere în laptopul tău, atunci a lua unul nou ar putea fi o idee bună.