De biometrische Windows Hello-implementaties van verschillende laptopfabrikanten bevatten kwetsbaarheden. Onderzoekers van Blackwing Intelligence ontdekte dit in onder meer laptops van Microsoft, Lenovo en Dell.
Windows Hello is een authenticatietool waarmee gebruikers op hun toestellen kunnen inloggen met een vingerafdruk of een andere biometrische toepassing. Hierdoor hoeven zij geen wachtwoorden meer in te voeren en dat moet gunstig zijn voor de beveiliging.
De onderzoekers van Blackwing Intelligence ontdekten echter dat verschillende implementaties van de authenticatietool op laptops van verschillende fabrikanten kwetsbaarheden hebben. Hierdoor kunnen hackers alsnog toegang krijgen tot deze devices door de authenticatie via Windows Hello te omzeilen. Het onderzoek gebeurde onder meer op verzoek van Microsoft zelf.
Probleem in SDCP-protocol
Meer specifiek zitten de kwetsbaarheden in de onderliggende Microsoft-technologie, het Secure Device Connection Protocol (SDCP). Deze stelt een Windows-pc of -laptop in staat de veiligheid van een vingerafdruk te verifiëren voordat het log-in-verzoek wordt verwerkt. Veel van de laptops hebben deze technologie nodig voor het laten werken van de Windows Hello-implementaties.
Bij het inloggen met een vingerafdruk genereert de scanner een signaal dat Windows Hello gebruikt om te bepalen of het verzoek moet worden geaccepteerd of afgewezen. SDCP heeft mechanismes die voorkomen dat hackers dit signaal kunnen manipuleren. Ook checkt het of de vingerafdrukscanner geen malware bevat en is gebouwd in lijn met de Microsoft securityvereisten.
Uit het onderzoek blijkt echter dat SDCP niet altijd voldoende beveiliging levert voor de vingerdafdrukscanner en niet ‘aanstaat.’ Ook dekt deze tool een hele reeks van andere aanvalsoppervlakken niet. Hierdoor kunnen hackers alsnog fysiek toegang krijgen tot de geteste toestellen.
Microsoft Surface X
Bij de geteste Surface X-laptop van Microsoft zelf bleek dat SDCP niet was geactiveerd, waardoor hackers eenvoudig de vingerafdrukscanner kunnen vervangen met een eigen gemanipuleerde scanner. Hackers konden zelf goedkoop, bijvoorbeeld op basis van een Raspberry Pi-microcomputer, een dergelijke scanner bouwen.
Lenovo ThinkPad T14
Ook de vingerafdrukscanner van de geteste Lenovo ThinkPad T14 kon worden gemanipuleerd, maar al iets ingewikkelder dan de Surface X-laptop. Hiervoor moeten hackers namelijk eerst de encryptiesleutel van de TLC-implementatie hebben. Deze kunnen zij extrapoleren uit de productnaam van de laptop en het betreffende serienummer. Deze zijn makkelijk te vinden op de sticker op de achterkant van de betreffende laptop.
Dell Inspiron 15
Tot slot bleek de geteste Dell Inspiron 15-laptop niet veilig. Deze laptop heeft SDCP wel geactiveerd, maar de implementatie werkt alleen voor Windows. De tool is te omzeilen door de laptop zo te configureren dat het opstart met een Linux-boot in plaats van een Windows-boot. Wanneer Linux opstart, kunnen hackers de data die de vingerafdruksensor bij het verwerken van log-in-verzoeken genereert, aftappen.
Vervolgens kunnen zij met deze data Windows Hello opleggen log-in-verzoeken te accepteren die anders worden gewijzigd.
2 dagen geleden
