Microsoft'un Windows Hello parmak izi kimlik doğrulaması Dell, Lenovo ve Surface dizüstü bilgisayarlarda atlandı

Bilgi IşlemNov 22, 2023

Araştırmacıların Dell, Lenovo ve Surface dizüstü bilgisayarlarda Windows Hello'yu atladığını duyduysanız bilmeniz gereken her şey bu.

Temel Çıkarımlar

  • Araştırmacılar, parmak izi tarama teknolojisindeki güvenlik açıklarını vurgulayarak Dell, Lenovo ve Microsoft dizüstü bilgisayarlarda Windows Hello'yu atlamayı başardılar.
  • Bu dizüstü bilgisayarlardaki parmak izi sensörleri, kendi mikroişlemcilerinde biyometrik doğrulama gerçekleştirmek için "Match on Chip" teknolojisini kullanıyor ancak bu, doğası gereği sahtekarlık saldırılarını engellemiyor.
  • Microsoft'un Güvenli Cihaz Koruma Protokolü (SDCP) bu güvenlik açıklarını gidermeyi amaçlamaktadır, ancak araştırmacılar bazılarının Lenovo ThinkPad T14s ve Microsoft Surface Type Cover dahil olmak üzere dizüstü bilgisayarlar SDCP'yi hiç kullanmadı ve bu da onları saldırılara karşı daha duyarlı hale getirdi. saldırılar.

Eğer bir Windows dizüstü bilgisayarı, o zaman muhtemelen Windows Hello ile karşılaşmışsınızdır. Desteklenen dizüstü bilgisayarlarda kullanıcıların yüz taraması, iris taraması veya parmak izi taramasıyla oturum açmasına olanak tanıyan biyometrik oturum açma işlemidir. Dizüstü bilgisayarınıza girmek için parmak izi kullanmanız durumunda dikkatli olun: Blackwing HQ'dan araştırmacılar, Dell, Lenovo ve Microsoft'un üç farklı dizüstü bilgisayarında Windows Hello'yu atladı.

Microsoft'un Redmond, Washington'daki BlueHat konferansında konuşan Jesse D'Aguanno ve Timo Teräs gösterdi Dell Inspiron 15, Lenovo ThinkPad T14s ve Parmak İzi Kimlikli Microsoft Surface Pro Type Cover'da (Surface Pro 8/X için) Windows Hello'yu nasıl aşmayı başardıklarını. Bu, kullanıcı hesabına ve kullanıcı verilerine sanki normal bir kullanıcıymış gibi erişebildikleri anlamına geliyordu. Ayrıca bu üç cihazda kullanılan sensörler sırasıyla Goodix, Synaptics ve ELAN markalarıdır. yani bu güvenlik açıkları yalnızca tek bir parmak izi tarayıcı üreticisi veya dizüstü bilgisayarla sınırlı değildir OEM.

Chip, SDCP ve dizüstü bilgisayar üreticilerinin nasıl batırdığıyla ilgili eşleşme

Surface Pro 7 + Siyah Tip Kapak Klavyeli

Her şeyden önce, bu parmak izi tarayıcılarının nasıl çalıştığını ve ana sistemle nasıl birlikte çalıştığını anlamak zorunludur. Her üç parmak izi tarayıcısı da "Match on Chip" (MoC) teknolojisini kullanıyor, bu da kendi mikroişlemcilerini ve depolamalarını paketledikleri anlamına geliyor. "Parmak izi şablonları" veritabanıyla karşılaştırma da dahil olmak üzere tüm parmak izi doğrulaması bu çip üzerinde gerçekleştirilir; parmak izi sensörünün elde ettiği biyometrik veriler. Bu, ana makinenin güvenliği ihlal edilse bile (bu durumda dizüstü bilgisayarın kendisi), biyometrik verilerin risk altında olmamasını sağlar.

MoC'nin bir diğer yararı da, bir saldırganın sahte bir sensörü ele geçirmesini ve biyometrik verileri ana sisteme göndermesini engellemesidir. Ancak bu, kötü amaçlı bir sensörün meşru bir sensör gibi davranarak sisteme kullanıcının kimliğinin doğrulandığını söylemesini engellemez. Ayrıca, bir saldırganın geçerli bir oturum açma girişimini durdurduğu ve ardından bunu ana sisteme geri "tekrar oynattığı" yeniden oynatma saldırılarını da önleyemez. Windows Merhaba Gelişmiş Oturum Açma Güvenliği (ESS), MoC sensörlerinin kullanılmasını gerektirir, ancak yaratıcı saldırganların bir kullanıcının dizüstü bilgisayarına erişmeye çalışabileceği çeşitli yolları zaten görebilirsiniz. Microsoft'un Güvenli Cihaz Koruma Protokolü olan SDCP'yi geliştirmesinin nedeni budur.

SDCP'nin aşağıdaki hedefleri vardır:

  1. Parmak izi cihazının güvenilir olduğundan emin olun
  2. Parmak izi cihazının sağlıklı olduğundan emin olun
  3. Parmak izi cihazı ile ana bilgisayar arasındaki girişi koruma

SDCP, sistemin biyometrik oturum açmayı kabul etmesi halinde bunu, oturum açma sırasında cihaz sahibinin fiziksel olarak mevcut olduğu varsayımıyla yapabileceğini belirten bir doktrindir. Bir güven zinciri üzerinde çalışarak, kullanılan sensörle ilgili aşağıdaki soruları yanıtlamayı amaçlamaktadır:

  1. Toplantı sahibi orijinal bir cihazla konuştuğuna güvenebilir mi?
  2. Toplantı sahibi, cihazın saldırıya uğramadığına veya değiştirilmediğine güvenebilir mi?
  3. Cihazdan gelen veriler korunuyor mu?

Bu nedenle SDCP, ana bilgisayar ile parmak izi sensörü arasında uçtan uca bir kanal oluşturur. Bu, modele özgü bir sertifikanın ve özel anahtarın, tüm iletişimin kurcalanmadığını doğrulamak için bir güven zinciri görevi görmesini sağlayan Güvenli Önyükleme'den yararlanır. Güvenliği ihlal edilmiş ürün yazılımı hala kullanılabilir ancak sistem, güvenliğinin ihlal edildiğini bilecek ve değiştirildi ve araştırmacılar, test edilen tüm cihazların aynı zamanda cihaz yazılımlarını da imzaladığını belirtti. kurcalama.

Yukarıdakilerin hepsi kulağa hoş geliyor ve konsept olarak SDCP, OEM'lerin kullanması gereken harika bir güvenlik özelliğidir. Sonuç olarak Lenovo ThinkPad T14s ve Microsoft Surface Type Cover'ın SDCP'den hiç yararlanmaması araştırmacılar için sürpriz oldu.

Blackwing Genel Merkezindeki araştırmacılardan alıntı yapmak gerekirse:

"Microsoft, ana bilgisayar ve biyometrik cihazlar arasında güvenli bir kanal sağlamak için SDCP'yi tasarlayarak iyi bir iş çıkardı, ancak ne yazık ki cihaz üreticileri bazı hedefleri yanlış anlıyor gibi görünüyor. Ek olarak SDCP, tipik bir cihazın çalışmasının yalnızca çok dar bir kapsamını kapsarken çoğu cihaz, SDCP tarafından hiç kapsanmayan oldukça büyük bir saldırı yüzeyine maruz kalır.

Sonunda, hedeflediğimiz üç cihazdan ikisinde SDCP'nin etkinleştirilmediğini bile gördük."

Dell, Lenovo ve Surface'a saldırmak

Dell Inspiron 15 örneğinde araştırmacılar, Linux aracılığıyla parmak izini kaydedebileceklerini ve bunun da SDCP'den faydalanmayacağını keşfettiler. Sensörün hem Linux hem de Windows için iki parmak izi veritabanını sakladığı ortaya çıktı (bu nedenle SDCP'nin yalnızca Windows'ta kullanılması ve kullanıcının Windows'a kaydolamaması garanti ediliyor) Linux'ta Windows'ta oturum açmak için), makinenin başlatılmasına rağmen sensöre Linux veritabanını kullanmasını söylemek için sensör ile ana bilgisayar arasındaki bağlantıyı kesmek mümkündür. Pencereler.

Tüm bunlar, başlatılan işletim sistemini kontrol eden ve bunun yerine Linux veritabanını işaret edecek şekilde ele geçirilebilen, kimliği doğrulanmamış bir paket sayesinde mümkün oldu. Kullanıcıları Linux veritabanına kaydetmek ve sensöre manuel olarak bağlanmak için Raspberry Pi 4 kullanılması gerekiyordu, ancak çalıştı ve araştırmacıların herhangi bir parmak izi kullanırken SDCP'yi korurken Windows sisteminde oturum açmasına izin verdi bozulmamış.

Kaynak: Blackwing Genel Merkezi

Lenovo ThinkPad T14s örneğinde, SDCP'yi tamamen atlayarak, ana bilgisayar ile sensör arasındaki iletişimi güvence altına alan özel bir TLS yığınının tersine mühendisliğini gerektiriyordu. Bu iletişimi şifrelemek için kullanılan anahtarın, makinenin ürününün bir kombinasyonu olduğu ortaya çıktı isim ve seri numarası ve araştırmacıların ifadesiyle "mühendislik sorunu" nedeniyle istismar BT.

Saldırganın parmak izi geçerli kimlikler listesine zorla kaydedilebildiğinde, Windows'a önyükleme yapmak ve sisteme giriş yapmak için saldırganın parmak izini kullanmak mümkün oldu.

Kaynak: Blackwing Genel Merkezi

Üçünün en kötüsü ve en kötüsü, Microsoft Surface Cover'ın ELAN parmak izi sensöründen geliyor. SDCP yoktur, USB üzerinden açık metinle iletişim kurar ve kullanıcının kimliğini doğrulamak için hiçbir çaba sarf etmez. Yaptığı tek kimlik doğrulama kontrolü, ana bilgisayardaki kayıtlı parmak izi sayısının sensörün sahip olduğu sayıyla eşleşip eşleşmediğini görmek için ana bilgisayar sistemiyle yapılan bir kontroldür. Bu durum, gerçek sensöre kaç parmak izinin kayıtlı olduğunu soran sahte bir sensörle kolayca aşılabilir.

Ne yapabilirsin?

Etkilenen bu dizüstü bilgisayarlardan birine sahipseniz, bunun gibi bir saldırının başınıza gelme ihtimalinin çok düşük olduğundan emin olabilirsiniz. Bunlar, saldırganın çok fazla çaba harcamasını gerektiren son derece uzmanlaşmış saldırılardır ve ayrıca dizüstü bilgisayarınıza fiziksel erişime de ihtiyaç duyarlar. Bu bir sorunsa, ilerlemenin en iyi yolu ya daha güvenli bir dizüstü bilgisayara geçmek ya da en azından Windows Hello'yu tamamen devre dışı bırakmaktır.

Windows Hello'yu devre dışı bırakmak, manuel olarak oturum açmanızı gerektireceğinden ve sistem hiçbir şekilde bir parmak izi sensörünün oturum açmasını beklemeyeceğinden, umarım yeterli olacaktır. Yine de dizüstü bilgisayarınıza güvenmiyorsanız, o zaman yeni bir tane almak iyi bir fikir olabilir.