image

Onderzoekers omzeilen Windows Hello via infraroodopname van slachtoffer

woensdag 14 juli 2021, 12:35 door Redactie, 5 reacties

Onderzoekers hebben aangetoond hoe Windows Hello via een infraroodopname van het slachtoffer en een aangepaste usb-camera is te omzeilen. Microsoft heeft gisteren beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Windows Hello laat gebruikers onder andere via biometrische authenticatie inloggen. Zo kunnen gebruikers bijvoorbeeld via een gezichtsscan toegang tot het systeem krijgen.

Onderzoekers van securitybedrijf CyberArk besloten zich op de zwakke schakel in dit proces te richten, wat volgens hen de biometrische sensor van de camera is. Deze sensor verstuurt de beeldinformatie door naar het besturingssysteem, waarna Windows Hello de beslissing maakt om de gebruiker in te loggen of te weigeren. Het manipuleren van deze informatie zou het mogelijk maken om de authenticatie van Windows Hello te omzeilen.

Wanneer een gebruiker via een gezichtsscan inlogt gebruikt Windows Hello de infraroodframes van de camera. Door frames van het slachtoffer af te spelen is het mogelijk om de authenticatie te omzeilen, zo ontdekten de onderzoekers. Hiervoor zijn er twee opties. Of een aanvaller bemachtigt een infraroodframe van het slachtoffer of zet een normaal RGB-frame om naar een infraroodframe.

Verder blijkt dat één infraroodframe van het slachtoffer en één zwart frame, die vervolgens naar het systeem worden gestuurd, voldoende zijn om Windows Hello te laten geloven dat het de gebruiker is die inlogt. Deze frames kunnen via een usb-bordje naar de computer worden verzonden, die ze vervolgens voor de authenticatiepoging gebruikt.

"Het onderzoek heeft laten zien hoe een systeem, zoals Windows Hello, dat impliciet invoer van aangesloten apparaten vertrouwt zichzelf blootstelt aan kwetsbaarheden. Deze invoer kan in bepaalde gevallen "publieke data" bevatten zoals het gezicht van iemand, wat voor beveiligingsproblemen kan zorgen", stelt onderzoeker OmerTsarfati.

Microsoft werd op 23 maart van dit jaar over de kwetsbaarheid ingelicht en bevestigde die een maand later. Gisteren werd de beveiligingsupdate uitgerold. De ernst van het beveiligingslek is op een schaal van 1 tot en met 10 met een 5,7 beoordeeld. Tijdens de komende Blackhat-conferentie in augustus zullen de onderzoekers hun bevindingen demonstreren.

Image

Reacties (5)
14-07-2021, 14:15 door Erik van Straten
Een leuk onderzoek met veel details over USB protocollen, het sniffen daarvan en USB camera's uitlezen vanuit Windows.

Inhoudelijk: de kracht van biometrische authenticatie wordt overschat. Immers, tenzij je altijd met ofwel een integraalhelm, mondkapje of nikaab plus in alle gevallen een spiegelende en/of donkere zonnebril rondloopt, is jouw gezicht geen geheim en kan eenvoudig worden "gekopieerd" t.b.v. replay attacks.

M.b.t. het "mitigerende" argument van Microsoft dat fysieke toegang nodig is: ja duh. Als dat zou betekenen dat aanvallen kunnen worden uitgesloten, zouden we helemaal geen access control nodig hebben voor gebruikers die interactief "inloggen" (Windows 95 "account-security" is dan goed genoeg).

Terzijde, Microsoft begint nu zo aftands te worden dat ze Clippy weer heeft geïntroduceerd (https://www.zdnet.com/article/microsoft-teams-now-you-can-invite-clippy-to-your-next-meeting/ en zo mogelijk erger, we weer bijna terug zijn bij Program Manager uit Windows 3.1 (dat een stuk flexibeler was dan het Windows 11 "Start Menu"), zie het plaatje in https://www.bleepingcomputer.com/news/microsoft/microsoft-removes-windows-11-hack-to-enable-windows-10-start-menu/. Alsjeblieft Microsoft, hou op met die stompzinnige veranderingen; maak in plaats daarvan jullie software beter bestand of beschermbaar tegen indringers!
14-07-2021, 17:41 door Anoniem
Windows Security in a nutshell: it's garbage.
14-07-2021, 20:18 door karma4
Door Erik van Straten: Een leuk onderzoek met veel details over USB protocollen, het sniffen daarvan en USB camera's uitlezen vanuit Windows.

Inhoudelijk: de kracht van biometrische authenticatie wordt overschat. Immers, tenzij je altijd met ofwel een integraalhelm, mondkapje of nikaab plus in alle gevallen een spiegelende en/of donkere zonnebril rondloopt, is jouw gezicht geen geheim en kan eenvoudig worden "gekopieerd" t.b.v. replay ....
Je overschat de kwetsbaarheid tegenover het risico bij een normaal gebruik.
Uiteindelijk is met biometrie het hoogst haalbare te bereiken.
De kosten met kwaliteit bruikbaarheid veranderen met de tijd.

Hard coded users passwords zou veilig zijn?
Het enige veilige systeem is een die niet bestaat / uit staat.
Omdat informatieverwerking vereist is zal die optie als onbruikbaar niet gebruikt worden.
15-07-2021, 11:00 door Anoniem
Door Erik van Straten: Inhoudelijk: de kracht van biometrische authenticatie wordt overschat. Immers, tenzij je altijd met ofwel een integraalhelm, mondkapje of nikaab plus in alle gevallen een spiegelende en/of donkere zonnebril rondloopt, is jouw gezicht geen geheim en kan eenvoudig worden "gekopieerd" t.b.v. replay attacks.
Dat is te kort door de bocht. In een ideale wereld kan biometrische informatie niet gekopieerd worden, het is immers iets dat je bent en niet iets dat je van buitenaf kunt zien, horen of ruiken.

Het probleem zit hem in de vertaling van de analoge wereld naar de digitale. We leven niet in een ideale wereld, daarom gaat er informatie bij de vertaling van jouw biometrische eigenschappen naar bits verloren. Deels ligt dat aan de technologie (bijvoorbeeld de kwaliteit van de camera), maar deels wordt dat ook expres gedaan (zodat je je nog steeds aan kan melden als je naar de kapper bent geweest of een puistje op je neus hebt).

Het is precies dit informatieverlies dat er voor zorgt dat biometrische authenticatie niet zo veilig is als iets dat je weet (bijvoorbeeld een paswoordzin) of iets dat je hebt (bijvoorbeeld een token), omdat je dan 100% van de authenticatie-informatie kan vergelijken.
16-07-2021, 08:31 door Anoniem
Door Anoniem: Windows Security in a nutshell: it's garbage.
Het is 1 van de logon methoden van Windows Hello framework. Als jij het voor je eigen case niet veilig genoeg vindt, dan neem je toch wat anders? Je hebt de keuze uit gezichtsherkenning, vingerafdruk, PIN, wachtwoord, security key en een combinatie hiervan (Hello for Business). De thuisgebruiker neemt alleen de gezichtherkenning of PIN, voor zakelijk gebruik neem je er een security key bij. Prima toch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.