2min Security

‘Windows Hello-gezichtsherkenning te omzeilen’

‘Windows Hello-gezichtsherkenning te omzeilen’

De gezichtsherkennings- en authenticatietechnologie van Microsoft voor Windows 10, Windows Hello, kan door een kwetsbaarheid eenvoudig worden omzeild. Dit constateert CyberArk in een recent onderzoek.

Windows Hello geeft gebruikers middels gezichtsherkenning en authenticatie toegang zonder dat zij een wachtwoord hoeven in te vullen. Er bestaan twee versies van de tool: één voor consumenten en één voor zakelijke gebruikers. Beide versies worden door de nu aangetroffen kwetsbaarheid getroffen. De aanvalstechniek is ook mogelijk voor andere systemen die biometrische gezichtsherkenning en authenticatie gebruiken.

Aanvalsmethodiek

De kwetsbaarheid laat kwaadwillenden met een speciale USB-camera en een foto van het slachtoffer het mechanisme voor gezichtsherkenning omzeilen. Hackers hebben of maken een infraroodfoto van het slachtoffer. Vervolgens wordt deze foto op een aangepast USB-device opgeslagen. Dit USB-device doet zich voor als een USB-camera. Het USB-device wordt vervolgens met de computer van het slachtoffer verbonden en het stuurt de afbeelding naar de computer. Het onderliggende biometrische systeem in Windows Hello accepteert de biometrische gegevens en logt automatisch in. Zo krijgen de hackers dan toegang tot de data op de computer en in het verbonden netwerk.

CyberArk

Patch van Microsoft

Hoewel deze hackmethode fysieke toegang tot de computer van het slachtoffer vereist, is het een serieuze bedreiging. Microsoft heeft onlangs een patch uitgebracht waarin deze kwetsbaarheid wordt tegengegaan. Verder is extra security toegevoegd door de nieuwe Enhanced Sign-in Security-functionaliteit in Windows 10. Deze functionaliteit vereist het gebruik van door de device-fabrikanten voorgeïnstalleerde speciale hardware, drivers en firmware.

Oplossing Microsoft niet voldoende

De onderzoekers van CyberArk vinden de oplossing van Microsoft voor dit probleem echter nog niet voldoende. Volgens hen wordt door toevoeging van Enhanced Sign-in Security met compatible hardware wel het aanvalsoppervlak verkleind, maar hangt het nog wel af van welke camera’s gebruikers hebben. Het systeem is zo ontworpen dat er impliciet vanuit wordt gegaan dat de input van randapparatuur betrouwbaar is. Om dit probleem verder aan te pakken, moet de host de integriteit van het apparaat voor biometrische authenticatie valideren, voordat het als vertrouwd wordt gezien.

De onderzoekers hebben aangekondigd verder te zoeken naar andere oplossingen voor dit securityprobleem van Windows Hello.