การรับรองความถูกต้องด้วยลายนิ้วมือ Windows Hello ของ Microsoft ข้ามบนแล็ปท็อป Dell, Lenovo และ Surface

คอมพิวเตอร์Nov 22, 2023

หากคุณได้ยินมาว่านักวิจัยข้าม Windows Hello บนแล็ปท็อป Dell, Lenovo และ Surface นี่คือทุกสิ่งที่คุณจำเป็นต้องรู้

ประเด็นที่สำคัญ

  • นักวิจัยสามารถหลีกเลี่ยง Windows Hello บนแล็ปท็อป Dell, Lenovo และ Microsoft ได้ โดยเน้นถึงช่องโหว่ในเทคโนโลยีการสแกนลายนิ้วมือ
  • เซ็นเซอร์ลายนิ้วมือบนแล็ปท็อปเหล่านี้ใช้เทคโนโลยี "Match on Chip" เพื่อทำการตรวจสอบไบโอเมตริกซ์บนไมโครโปรเซสเซอร์ของตัวเอง แต่ไม่ได้ป้องกันการโจมตีด้วยการปลอมแปลงโดยเนื้อแท้
  • Secure Device Protection Protocol (SDCP) ของ Microsoft มีวัตถุประสงค์เพื่อแก้ไขช่องโหว่เหล่านี้ แต่นักวิจัยพบว่าบางส่วน แล็ปท็อป รวมถึง Lenovo ThinkPad T14s และ Microsoft Surface Type Cover ไม่ได้ใช้ SDCP เลย ทำให้พวกเขาเสี่ยงต่อ การโจมตี

ถ้าคุณมี แล็ปท็อปวินโดวส์แล้วคุณคงเคยเจอ Windows Hello เป็นการเข้าสู่ระบบด้วยไบโอเมตริกซ์บนแล็ปท็อปที่รองรับ โดยอนุญาตให้ผู้ใช้เข้าสู่ระบบด้วยการสแกนใบหน้า สแกนม่านตา หรือสแกนลายนิ้วมือ ในกรณีของการใช้ลายนิ้วมือเพื่อเข้าไปในแล็ปท็อปของคุณ ได้รับการเตือน: นักวิจัยจาก Blackwing HQ ได้ข้าม Windows Hello บนแล็ปท็อปสามเครื่องจาก Dell, Lenovo และ Microsoft

พูดในการประชุม BlueHat ของ Microsoft ในเมืองเรดมอนด์ รัฐวอชิงตัน, Jesse D'Aguanno และ Timo Teräs แสดงให้เห็น วิธีที่พวกเขาจัดการเพื่อหลีกเลี่ยง Windows Hello บน Dell Inspiron 15, Lenovo ThinkPad T14s และ Microsoft Surface Pro Type Cover พร้อมรหัสลายนิ้วมือ (สำหรับ Surface Pro 8/X) ซึ่งหมายความว่าพวกเขาสามารถเข้าถึงบัญชีผู้ใช้และข้อมูลของผู้ใช้ได้ราวกับว่าพวกเขาเป็นผู้ใช้ปกติ นอกจากนี้เซ็นเซอร์ที่ใช้ในอุปกรณ์ทั้งสามนี้มาจาก Goodix, Synaptics และ ELAN ตามลำดับ หมายความว่าช่องโหว่เหล่านี้ไม่ได้จำกัดอยู่เพียงผู้ผลิตเครื่องสแกนลายนิ้วมือหรือแล็ปท็อปเพียงรายเดียว OEM.

จับคู่ชิป, SDCP และวิธีที่ผู้ผลิตแล็ปท็อปทำผิดพลาด

Surface Pro 7 + พร้อมแป้นพิมพ์ Type Cover สีดำ

ก่อนอื่น จำเป็นต้องทำความเข้าใจว่าเครื่องสแกนลายนิ้วมือเหล่านี้ทำงานและทำงานร่วมกับระบบโฮสต์อย่างไร เครื่องสแกนลายนิ้วมือทั้งสามเครื่องใช้เทคโนโลยี "Match on Chip" (MoC) ซึ่งหมายความว่าเครื่องจะบรรจุไมโครโปรเซสเซอร์และพื้นที่เก็บข้อมูลของตัวเอง การตรวจสอบลายนิ้วมือทั้งหมดดำเนินการบนชิปนี้ รวมถึงการเปรียบเทียบกับฐานข้อมูลของ "เทมเพลตลายนิ้วมือ" ข้อมูลไบโอเมตริกซ์ที่เซ็นเซอร์ลายนิ้วมือได้รับ สิ่งนี้ทำให้แน่ใจได้ว่าแม้ว่าเครื่องโฮสต์จะถูกบุกรุก (ในกรณีนี้คือตัวแล็ปท็อปเอง) ข้อมูลไบโอเมตริกซ์จะไม่ตกอยู่ในความเสี่ยง

ข้อดีอีกประการหนึ่งของ MoC ก็คือป้องกันผู้โจมตีไม่ให้บุกรุกเซ็นเซอร์ปลอมแปลงและส่งข้อมูลไบโอเมตริกซ์ไปยังระบบโฮสต์ อย่างไรก็ตาม ไม่ได้ป้องกันเซ็นเซอร์ที่เป็นอันตรายจากการแสร้งทำเป็นเซ็นเซอร์ที่ถูกต้อง โดยแจ้งให้ระบบทราบว่าผู้ใช้ได้ตรวจสอบสิทธิ์แล้ว นอกจากนี้ยังไม่สามารถป้องกันการโจมตีแบบเล่นซ้ำได้ โดยที่ผู้โจมตีจะขัดขวางความพยายามในการเข้าสู่ระบบที่ถูกต้อง จากนั้นจึง "เล่นซ้ำ" กลับไปยังระบบโฮสต์ การรักษาความปลอดภัยการลงชื่อเข้าใช้ขั้นสูงของ Windows Hello (ESS) จำเป็นต้องใช้เซ็นเซอร์ MoC แต่คุณสามารถดูได้หลายวิธีแล้วว่าผู้โจมตีที่สร้างสรรค์อาจพยายามเข้าถึงแล็ปท็อปของผู้ใช้ นั่นเป็นเหตุผลที่ Microsoft พัฒนา SDCP ซึ่งเป็น Secure Device Protection Protocol

SDCP มีเป้าหมายดังต่อไปนี้:

  1. ตรวจสอบให้แน่ใจว่าอุปกรณ์ลายนิ้วมือเชื่อถือได้
  2. ตรวจสอบให้แน่ใจว่าอุปกรณ์ลายนิ้วมือมีสุขภาพที่ดี
  3. การป้องกันอินพุตระหว่างอุปกรณ์ลายนิ้วมือและโฮสต์

SDCP เป็นหลักคำสอนที่ระบุว่าหากระบบยอมรับการเข้าสู่ระบบด้วยชีวมิติ ก็สามารถทำได้โดยมีสมมติฐานว่าเจ้าของอุปกรณ์นั้นปรากฏตัวทางกายภาพ ณ เวลาที่เข้าสู่ระบบ การทำงานบนสายโซ่แห่งความไว้วางใจ มีจุดมุ่งหมายเพื่อตอบคำถามต่อไปนี้เกี่ยวกับเซ็นเซอร์ที่ใช้งาน:

  1. โฮสต์สามารถไว้วางใจได้ว่ากำลังพูดคุยกับอุปกรณ์ของแท้หรือไม่?
  2. โฮสต์สามารถเชื่อถือได้ว่าอุปกรณ์ไม่ได้ถูกแฮ็กหรือดัดแปลงหรือไม่?
  3. ข้อมูลมาจากอุปกรณ์ได้รับการป้องกันหรือไม่?

นี่คือสาเหตุที่ SDCP สร้างช่องทางตั้งแต่ต้นทางถึงปลายทางระหว่างโฮสต์และเซ็นเซอร์ลายนิ้วมือ วิธีนี้ใช้ประโยชน์จาก Secure Boot ซึ่งช่วยให้มั่นใจได้ว่าใบรับรองเฉพาะรุ่นและคีย์ส่วนตัวทำหน้าที่เป็นสายโซ่แห่งความไว้วางใจเพื่อตรวจสอบว่าการสื่อสารทั้งหมดไม่มีการเปลี่ยนแปลง เฟิร์มแวร์ที่ถูกบุกรุกยังคงสามารถใช้ได้ แต่ระบบจะรู้ว่าเฟิร์มแวร์ถูกบุกรุกและ ได้รับการแก้ไขแล้ว และนักวิจัยตั้งข้อสังเกตว่าอุปกรณ์ทั้งหมดที่ทดสอบได้ลงนามเฟิร์มแวร์เพื่อป้องกันด้วย การปลอมแปลง

ทั้งหมดที่กล่าวมาฟังดูดี และ SDCP เป็นแนวคิดที่เป็นคุณลักษณะด้านความปลอดภัยที่ยอดเยี่ยมที่ OEM ควรใช้ ด้วยเหตุนี้ นักวิจัยจึงแปลกใจเมื่อ Lenovo ThinkPad T14s และ Microsoft Surface Type Cover ไม่ได้ใช้ SDCP เลย

อ้างคำพูดของนักวิจัยจาก Blackwing HQ:

"Microsoft ทำงานได้ดีในการออกแบบ SDCP เพื่อสร้างช่องทางที่ปลอดภัยระหว่างโฮสต์และอุปกรณ์ไบโอเมตริกซ์ แต่น่าเสียดายที่ผู้ผลิตอุปกรณ์ดูเหมือนจะเข้าใจผิดในวัตถุประสงค์บางประการ นอกจากนี้ SDCP ยังครอบคลุมเฉพาะขอบเขตการทำงานของอุปกรณ์ทั่วไปที่แคบมากเท่านั้น ในขณะที่อุปกรณ์ส่วนใหญ่มีพื้นผิวการโจมตีขนาดใหญ่ที่เปิดเผยซึ่ง SDCP ไม่ครอบคลุมเลย

สุดท้าย เราพบว่า SDCP ไม่ได้เปิดใช้งานบนอุปกรณ์สองในสามที่เรากำหนดเป้าหมายด้วยซ้ำ"

โจมตี Dell, Lenovo และ Surface

ในกรณีของ Dell Inspiron 15 นักวิจัยพบว่าพวกเขาสามารถลงทะเบียนลายนิ้วมือผ่าน Linux ได้ ซึ่งจะไม่ใช้ SDCP ในทางกลับกัน ปรากฏว่าเซ็นเซอร์เก็บฐานข้อมูลลายนิ้วมือไว้ 2 ฐานข้อมูลสำหรับทั้ง Linux และ Windows (ดังนั้นจึงมั่นใจได้ว่า SDCP จะใช้เฉพาะบน Windows เท่านั้น และผู้ใช้ไม่สามารถลงทะเบียนได้ Linux เพื่อเข้าสู่ระบบบน Windows) สามารถสกัดกั้นการเชื่อมต่อระหว่างเซ็นเซอร์และโฮสต์เพื่อบอกให้เซ็นเซอร์ใช้ฐานข้อมูล Linux แม้ว่าเครื่องจะบูตเข้าก็ตาม หน้าต่าง

ทั้งหมดนี้เป็นไปได้ด้วยแพ็กเก็ตที่ไม่ได้รับการรับรองความถูกต้องซึ่งจะตรวจสอบระบบปฏิบัติการที่บูทไว้และอาจถูกแย่งชิงให้ชี้ไปที่ฐานข้อมูล Linux แทน จำเป็นต้องใช้ Raspberry Pi 4 เพื่อลงทะเบียนผู้ใช้ในฐานข้อมูล Linux และเชื่อมต่อกับเซ็นเซอร์ด้วยตนเอง แต่ทำได้ ทำงานและอนุญาตให้ผู้วิจัยเข้าสู่ระบบ Windows โดยใช้ลายนิ้วมือใดก็ได้ โดยที่ยังคงรักษา SDCP ไว้ ไม่บุบสลาย

ที่มา: Blackwing HQ

ในกรณีของ Lenovo ThinkPad T14s จำเป็นต้องมีวิศวกรรมย้อนกลับของสแต็ก TLS แบบกำหนดเองเพื่อรักษาความปลอดภัยการสื่อสารระหว่างโฮสต์และเซ็นเซอร์ โดยข้าม SDCP ไปโดยสิ้นเชิง กุญแจที่ใช้ในการเข้ารหัสการสื่อสารนั้นกลายเป็นการผสมผสานของผลิตภัณฑ์ของเครื่อง ชื่อและหมายเลขซีเรียล และการแสวงหาประโยชน์เพียงเพราะว่าเป็น "ปัญหาทางวิศวกรรม" ตามที่นักวิจัยกล่าวไว้ มัน.

เมื่อลายนิ้วมือของผู้โจมตีสามารถบังคับลงทะเบียนในรายการ ID ที่ถูกต้องได้ ก็เป็นไปได้ที่จะบูตเข้าสู่ Windows และใช้ลายนิ้วมือของผู้โจมตีเพื่อเข้าสู่ระบบ

ที่มา: Blackwing HQ

สิ่งที่แย่ที่สุดและร้ายแรงที่สุดในทั้งสามนั้นมาจากเซ็นเซอร์ลายนิ้วมือของ Microsoft Surface Cover โดย ELAN ไม่มี SDCP แต่จะสื่อสารผ่าน USB ในรูปแบบข้อความที่ชัดเจน และไม่ต้องใช้ความพยายามในการตรวจสอบสิทธิ์ผู้ใช้ การตรวจสอบสิทธิ์เพียงอย่างเดียวที่ทำคือการตรวจสอบกับระบบโฮสต์เพื่อดูว่าจำนวนลายนิ้วมือที่ลงทะเบียนบนโฮสต์ตรงกับหมายเลขที่เซ็นเซอร์มีหรือไม่ สิ่งนี้ยังสามารถป้องกันได้อย่างง่ายดายด้วยเซ็นเซอร์ปลอมเพื่อถามเซ็นเซอร์จริงว่ามีการลงทะเบียนลายนิ้วมือจำนวนเท่าใด

คุณทำอะไรได้บ้าง?

หากคุณเป็นเจ้าของแล็ปท็อปที่ได้รับผลกระทบเหล่านี้ มั่นใจได้ว่าไม่น่าจะมีการโจมตีเช่นนี้เกิดขึ้นกับคุณ การโจมตีเหล่านี้เป็นการโจมตีที่เชี่ยวชาญเป็นพิเศษซึ่งต้องใช้ความพยายามอย่างมากจากผู้โจมตี และพวกมันยังจำเป็นต้องเข้าถึงแล็ปท็อปของคุณด้วย หากนั่นเป็นปัญหา วิธีที่ดีที่สุดคืออัปเกรดเป็นแล็ปท็อปที่ปลอดภัยยิ่งขึ้น หรืออย่างน้อยก็ปิดการใช้งาน Windows Hello ทั้งหมด

หวังว่าการปิดการใช้งาน Windows Hello น่าจะเพียงพอแล้ว เนื่องจากคุณจะต้องเข้าสู่ระบบด้วยตนเอง และระบบจะไม่คาดหวังว่าเซ็นเซอร์ลายนิ้วมือจะเข้าสู่ระบบเลย หากคุณยังคงไม่ไว้วางใจแล็ปท็อปของคุณ การเลือกอันใหม่อาจเป็นความคิดที่ดี.