Microsofts Windows Hello-fingeravtrycksautentisering förbigicks på bärbara datorer från Dell, Lenovo och Surface

Viktiga takeaways

• Forskare har lyckats kringgå Windows Hello på bärbara datorer från Dell, Lenovo och Microsoft, och lyfter fram sårbarheter i tekniken för fingeravtrycksskanning.
• Fingeravtryckssensorerna på dessa bärbara datorer använder "Match on Chip"-teknik för att utföra biometrisk verifiering på sina egna mikroprocessorer, men detta förhindrar inte i sig spoofingattacker.
• Microsofts Secure Device Protection Protocol (SDCP) syftar till att åtgärda dessa sårbarheter, men forskarna fann att vissa bärbara datorer, inklusive Lenovo ThinkPad T14s och Microsoft Surface Type Cover, använde inte SDCP alls, vilket gjorde dem mer mottagliga för attacker.

Om du har en Windows bärbar dator, då har du förmodligen stött på Windows Hello. Det är en biometrisk inloggning som på bärbara datorer som stöds låter användare logga in med antingen en ansiktsskanning, en irisskanning eller en fingeravtrycksskanning. Om du använder ett fingeravtryck för att komma in i din bärbara dator, dock varnas: forskare från Blackwing HQ har kringgått Windows Hello på tre olika bärbara datorer från Dell, Lenovo och Microsoft.

Talar på Microsofts BlueHat-konferens i Redmond, Washington, Jesse D'Aguanno och Timo Teräs demonstrerade hur de hade lyckats kringgå Windows Hello på Dell Inspiron 15, Lenovo ThinkPad T14s och Microsoft Surface Pro Type Cover med Fingerprint ID (för Surface Pro 8/X). Detta innebar att de kunde få tillgång till användarkontot och användarens data som om de vore en normal användare. Dessutom är sensorerna som används på dessa tre enheter från Goodix, Synaptics respektive ELAN, vilket innebär att dessa sårbarheter inte är begränsade till bara en fingeravtrycksläsare eller bärbar dator OEM.

Match on Chip, SDCP och hur tillverkare av bärbara datorer körde ihop

Först och främst är det absolut nödvändigt att förstå hur dessa fingeravtrycksläsare fungerar och samverkar med värdsystemet. Alla tre fingeravtrycksläsarna använder "Match on Chip"-teknik (MoC), vilket innebär att de packar sin egen mikroprocessor och lagring. All fingeravtrycksverifiering utförs på detta chip, inklusive jämförelse mot databasen med "fingeravtrycksmallar"; de biometriska data som fingeravtryckssensorn erhåller. Detta säkerställer att även om värddatorn äventyras (i det här fallet själva den bärbara datorn) är biometriska data inte i fara.

En annan fördel med MoC är att det förhindrar en angripare från att äventyra en falsk sensor och skicka biometrisk data till värdsystemet. Det hindrar dock inte en skadlig sensor från att låtsas vara en legitim, och talar om för systemet att användaren har autentiserats. Det kan inte heller förhindra omspelsattacker, där en angripare skulle fånga upp ett giltigt inloggningsförsök och sedan "spela om" det tillbaka till värdsystemet. Windows Hello Advanced Sign-in Security (ESS) kräver användning av MoC-sensorer, men du kan redan se ett antal sätt som kreativa angripare kan försöka ta sig in i en användares bärbara dator. Det är därför Microsoft utvecklade SDCP, Secure Device Protection Protocol.

SDCP har följande mål:

1. Se till att fingeravtrycksenheten är pålitlig
2. Se till att fingeravtrycksenheten är frisk
3. Skyddar indata mellan fingeravtrycksenheten och värden

SDCP är en doktrin som anger att om systemet accepterar en biometrisk inloggning kan det göra det med antagandet att enhetens ägare var fysiskt närvarande vid tidpunkten för inloggningen. Den fungerar i en förtroendekedja och syftar till att svara på följande frågor om sensorn som används:

1. Kan värden lita på att den pratar med en äkta enhet?
2. Kan värden lita på att enheten inte har blivit hackad eller modifierad?
3. Är data som kommer från enheten skyddad?

Det är därför SDCP skapar en ände-till-ände-kanal mellan värden och fingeravtryckssensorn. Detta utnyttjar Secure Boot, som säkerställer att ett modellspecifikt certifikat och en privat nyckel fungerar som en förtroendekedja för att verifiera att all kommunikation inte har manipulerats. Komprometterad firmware kan fortfarande användas, men systemet kommer att veta att den har äventyrats och modifierad, och forskarna noterade att alla testade enheter också signerade sin firmware för att förhindra manipulering.

Allt ovanstående låter bra, och SDCP som koncept är en utmärkt säkerhetsfunktion som OEM-företag borde använda. Som ett resultat kom det som en överraskning för forskarna när Lenovo ThinkPad T14s och Microsoft Surface Type Cover inte använde SDCP alls.

För att citera forskarna från Blackwing HQ:

"Microsoft gjorde ett bra jobb med att designa SDCP för att tillhandahålla en säker kanal mellan värden och biometriska enheter, men tyvärr verkar enhetstillverkare missförstå några av målen. Dessutom täcker SDCP bara en mycket snäv omfattning av en typisk enhets funktion, medan de flesta enheter har en ansenlig attackyta exponerad som inte täcks av SDCP alls.

Slutligen upptäckte vi att SDCP inte ens var aktiverat på två av tre av enheterna vi riktade in oss på."

Attackerar Dell, Lenovo och Surface

När det gäller Dell Inspiron 15 fann forskarna att de kunde registrera ett fingeravtryck via Linux, vilket i sin tur inte skulle använda SDCP. Medan det visar sig att sensorn lagrar två databaser med fingeravtryck för både Linux och Windows (därför säkerställer att SDCP endast används på Windows och att en användare inte kan registrera sig på Linux för att logga in på Windows) är det möjligt att avlyssna anslutningen mellan sensor och värd för att tala om för sensorn att använda Linux-databasen, trots att maskinen startas upp i Windows.

Allt detta var möjligt tack vare ett oautentiserat paket som kontrollerade det uppstartade operativsystemet och som kunde kapas för att peka på Linux-databasen istället. Det krävdes att man använde en Raspberry Pi 4 för att registrera användare i Linux-databasen och ansluta till sensorn manuellt, men det fungerade och tillät forskarna att logga in på Windows-systemet medan de använde vilket fingeravtryck som helst, samtidigt som de behöll SDCP intakt.

I fallet med Lenovo ThinkPad T14s krävde det omvänd konstruktion av en anpassad TLS-stack som säkrade kommunikationen mellan värden och sensorn och hoppade över SDCP helt. Nyckeln som användes för att kryptera den kommunikationen visade sig vara en kombination av maskinens produkt namn och serienummer, och exploatering helt enkelt för att ett "ingenjörsproblem" som forskarna uttryckte Det.

När angriparens fingeravtryck kunde tvångsregistreras i listan över giltiga ID, var det möjligt att sedan starta upp i Windows och använda angriparens fingeravtryck för att logga in på systemet.

Den värsta och mest skrämmande av de tre kommer från Microsoft Surface Covers fingeravtryckssensor från ELAN. Det finns ingen SDCP, den kommunicerar över USB i klartext, och den gör ingen ansträngning för att autentisera användaren. Den enda autentiseringskontrollen den gör är en kontroll med värdsystemet för att se om antalet registrerade fingeravtryck på värden matchar numret som sensorn har. Detta kan fortfarande enkelt överbryggas med en falsk sensor som frågar den verkliga sensorn hur många fingeravtryck som är registrerade.

Vad kan du göra?

Om du äger en av dessa drabbade bärbara datorer kan du vara säker på att det är mycket osannolikt att någon attack som denna skulle hända dig. Dessa är högt specialiserade attacker som kräver mycket ansträngning från angriparens sida, och de behöver också fysisk åtkomst till din bärbara dator. Om det är ett problem är den bästa vägen framåt antingen att uppgradera till en säkrare bärbar dator eller åtminstone inaktivera Windows Hello helt.

Att inaktivera Windows Hello borde förhoppningsvis vara tillräckligt, eftersom det kräver att du loggar in manuellt och systemet förväntar sig inte att en fingeravtryckssensor loggar in alls. Om du fortfarande inte litar på din bärbara dator, då att hämta en ny kan vara en bra idé.