Onderzoekers omzeilen Windows Hello via infraroodopname van slachtoffer
Onderzoekers hebben aangetoond hoe Windows Hello via een infraroodopname van het slachtoffer en een aangepaste usb-camera is te omzeilen. Microsoft heeft gisteren beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Windows Hello laat gebruikers onder andere via biometrische authenticatie inloggen. Zo kunnen gebruikers bijvoorbeeld via een gezichtsscan toegang tot het systeem krijgen.
Onderzoekers van securitybedrijf CyberArk besloten zich op de zwakke schakel in dit proces te richten, wat volgens hen de biometrische sensor van de camera is. Deze sensor verstuurt de beeldinformatie door naar het besturingssysteem, waarna Windows Hello de beslissing maakt om de gebruiker in te loggen of te weigeren. Het manipuleren van deze informatie zou het mogelijk maken om de authenticatie van Windows Hello te omzeilen.
Wanneer een gebruiker via een gezichtsscan inlogt gebruikt Windows Hello de infraroodframes van de camera. Door frames van het slachtoffer af te spelen is het mogelijk om de authenticatie te omzeilen, zo ontdekten de onderzoekers. Hiervoor zijn er twee opties. Of een aanvaller bemachtigt een infraroodframe van het slachtoffer of zet een normaal RGB-frame om naar een infraroodframe.
Verder blijkt dat één infraroodframe van het slachtoffer en één zwart frame, die vervolgens naar het systeem worden gestuurd, voldoende zijn om Windows Hello te laten geloven dat het de gebruiker is die inlogt. Deze frames kunnen via een usb-bordje naar de computer worden verzonden, die ze vervolgens voor de authenticatiepoging gebruikt.
"Het onderzoek heeft laten zien hoe een systeem, zoals Windows Hello, dat impliciet invoer van aangesloten apparaten vertrouwt zichzelf blootstelt aan kwetsbaarheden. Deze invoer kan in bepaalde gevallen "publieke data" bevatten zoals het gezicht van iemand, wat voor beveiligingsproblemen kan zorgen", stelt onderzoeker OmerTsarfati.
Microsoft werd op 23 maart van dit jaar over de kwetsbaarheid ingelicht en bevestigde die een maand later. Gisteren werd de beveiligingsupdate uitgerold. De ernst van het beveiligingslek is op een schaal van 1 tot en met 10 met een 5,7 beoordeeld. Tijdens de komende Blackhat-conferentie in augustus zullen de onderzoekers hun bevindingen demonstreren.
Inhoudelijk: de kracht van biometrische authenticatie wordt overschat. Immers, tenzij je altijd met ofwel een integraalhelm, mondkapje of nikaab plus in alle gevallen een spiegelende en/of donkere zonnebril rondloopt, is jouw gezicht geen geheim en kan eenvoudig worden "gekopieerd" t.b.v. replay attacks.
M.b.t. het "mitigerende" argument van Microsoft dat fysieke toegang nodig is: ja duh. Als dat zou betekenen dat aanvallen kunnen worden uitgesloten, zouden we helemaal geen access control nodig hebben voor gebruikers die interactief "inloggen" (Windows 95 "account-security" is dan goed genoeg).
Terzijde, Microsoft begint nu zo aftands te worden dat ze Clippy weer heeft geïntroduceerd (https://www.zdnet.com/article/microsoft-teams-now-you-can-invite-clippy-to-your-next-meeting/ en zo mogelijk erger, we weer bijna terug zijn bij Program Manager uit Windows 3.1 (dat een stuk flexibeler was dan het Windows 11 "Start Menu"), zie het plaatje in https://www.bleepingcomputer.com/news/microsoft/microsoft-removes-windows-11-hack-to-enable-windows-10-start-menu/. Alsjeblieft Microsoft, hou op met die stompzinnige veranderingen; maak in plaats daarvan jullie software beter bestand of beschermbaar tegen indringers!
Inhoudelijk: de kracht van biometrische authenticatie wordt overschat. Immers, tenzij je altijd met ofwel een integraalhelm, mondkapje of nikaab plus in alle gevallen een spiegelende en/of donkere zonnebril rondloopt, is jouw gezicht geen geheim en kan eenvoudig worden "gekopieerd" t.b.v. replay ....
Uiteindelijk is met biometrie het hoogst haalbare te bereiken.
De kosten met kwaliteit bruikbaarheid veranderen met de tijd.
Hard coded users passwords zou veilig zijn?
Het enige veilige systeem is een die niet bestaat / uit staat.
Omdat informatieverwerking vereist is zal die optie als onbruikbaar niet gebruikt worden.
Het probleem zit hem in de vertaling van de analoge wereld naar de digitale. We leven niet in een ideale wereld, daarom gaat er informatie bij de vertaling van jouw biometrische eigenschappen naar bits verloren. Deels ligt dat aan de technologie (bijvoorbeeld de kwaliteit van de camera), maar deels wordt dat ook expres gedaan (zodat je je nog steeds aan kan melden als je naar de kapper bent geweest of een puistje op je neus hebt).
Het is precies dit informatieverlies dat er voor zorgt dat biometrische authenticatie niet zo veilig is als iets dat je weet (bijvoorbeeld een paswoordzin) of iets dat je hebt (bijvoorbeeld een token), omdat je dan 100% van de authenticatie-informatie kan vergelijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.