Onderzoekers hebben aangetoond hoe Windows Hello via een infraroodopname van het slachtoffer en een aangepaste usb-camera is te omzeilen. Microsoft heeft gisteren beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Windows Hello laat gebruikers onder andere via biometrische authenticatie inloggen. Zo kunnen gebruikers bijvoorbeeld via een gezichtsscan toegang tot het systeem krijgen.

Onderzoekers van securitybedrijf CyberArk besloten zich op de zwakke schakel in dit proces te richten, wat volgens hen de biometrische sensor van de camera is. Deze sensor verstuurt de beeldinformatie door naar het besturingssysteem, waarna Windows Hello de beslissing maakt om de gebruiker in te loggen of te weigeren. Het manipuleren van deze informatie zou het mogelijk maken om de authenticatie van Windows Hello te omzeilen.

Wanneer een gebruiker via een gezichtsscan inlogt gebruikt Windows Hello de infraroodframes van de camera. Door frames van het slachtoffer af te spelen is het mogelijk om de authenticatie te omzeilen, zo ontdekten de onderzoekers. Hiervoor zijn er twee opties. Of een aanvaller bemachtigt een infraroodframe van het slachtoffer of zet een normaal RGB-frame om naar een infraroodframe.

Verder blijkt dat één infraroodframe van het slachtoffer en één zwart frame, die vervolgens naar het systeem worden gestuurd, voldoende zijn om Windows Hello te laten geloven dat het de gebruiker is die inlogt. Deze frames kunnen via een usb-bordje naar de computer worden verzonden, die ze vervolgens voor de authenticatiepoging gebruikt.

"Het onderzoek heeft laten zien hoe een systeem, zoals Windows Hello, dat impliciet invoer van aangesloten apparaten vertrouwt zichzelf blootstelt aan kwetsbaarheden. Deze invoer kan in bepaalde gevallen "publieke data" bevatten zoals het gezicht van iemand, wat voor beveiligingsproblemen kan zorgen", stelt onderzoeker OmerTsarfati.

Microsoft werd op 23 maart van dit jaar over de kwetsbaarheid ingelicht en bevestigde die een maand later. Gisteren werd de beveiligingsupdate uitgerold. De ernst van het beveiligingslek is op een schaal van 1 tot en met 10 met een 5,7 beoordeeld. Tijdens de komende Blackhat-conferentie in augustus zullen de onderzoekers hun bevindingen demonstreren.