Onderzoekers omzeilen Windows Hello via infraroodopname van slachtoffer
Onderzoekers hebben aangetoond hoe Windows Hello via een infraroodopname van het slachtoffer en een aangepaste usb-camera is te omzeilen. Microsoft heeft gisteren beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Windows Hello laat gebruikers onder andere via biometrische authenticatie inloggen. Zo kunnen gebruikers bijvoorbeeld via een gezichtsscan toegang tot het systeem krijgen.
Onderzoekers van securitybedrijf CyberArk besloten zich op de zwakke schakel in dit proces te richten, wat volgens hen de biometrische sensor van de camera is. Deze sensor verstuurt de beeldinformatie door naar het besturingssysteem, waarna Windows Hello de beslissing maakt om de gebruiker in te loggen of te weigeren. Het manipuleren van deze informatie zou het mogelijk maken om de authenticatie van Windows Hello te omzeilen.
Wanneer een gebruiker via een gezichtsscan inlogt gebruikt Windows Hello de infraroodframes van de camera. Door frames van het slachtoffer af te spelen is het mogelijk om de authenticatie te omzeilen, zo ontdekten de onderzoekers. Hiervoor zijn er twee opties. Of een aanvaller bemachtigt een infraroodframe van het slachtoffer of zet een normaal RGB-frame om naar een infraroodframe.
Verder blijkt dat één infraroodframe van het slachtoffer en één zwart frame, die vervolgens naar het systeem worden gestuurd, voldoende zijn om Windows Hello te laten geloven dat het de gebruiker is die inlogt. Deze frames kunnen via een usb-bordje naar de computer worden verzonden, die ze vervolgens voor de authenticatiepoging gebruikt.
"Het onderzoek heeft laten zien hoe een systeem, zoals Windows Hello, dat impliciet invoer van aangesloten apparaten vertrouwt zichzelf blootstelt aan kwetsbaarheden. Deze invoer kan in bepaalde gevallen "publieke data" bevatten zoals het gezicht van iemand, wat voor beveiligingsproblemen kan zorgen", stelt onderzoeker OmerTsarfati.
Microsoft werd op 23 maart van dit jaar over de kwetsbaarheid ingelicht en bevestigde die een maand later. Gisteren werd de beveiligingsupdate uitgerold. De ernst van het beveiligingslek is op een schaal van 1 tot en met 10 met een 5,7 beoordeeld. Tijdens de komende Blackhat-conferentie in augustus zullen de onderzoekers hun bevindingen demonstreren.
Inhoudelijk: de kracht van biometrische authenticatie wordt overschat. Immers, tenzij je altijd met ofwel een integraalhelm, mondkapje of nikaab plus in alle gevallen een spiegelende en/of donkere zonnebril rondloopt, is jouw gezicht geen geheim en kan eenvoudig worden "gekopieerd" t.b.v. replay attacks.
M.b.t. het "mitigerende" argument van Microsoft dat fysieke toegang nodig is: ja duh. Als dat zou betekenen dat aanvallen kunnen worden uitgesloten, zouden we helemaal geen access control nodig hebben voor gebruikers die interactief "inloggen" (Windows 95 "account-security" is dan goed genoeg).
Terzijde, Microsoft begint nu zo aftands te worden dat ze Clippy weer heeft geïntroduceerd (https://www.zdnet.com/article/microsoft-teams-now-you-can-invite-clippy-to-your-next-meeting/ en zo mogelijk erger, we weer bijna terug zijn bij Program Manager uit Windows 3.1 (dat een stuk flexibeler was dan het Windows 11 "Start Menu"), zie het plaatje in https://www.bleepingcomputer.com/news/microsoft/microsoft-removes-windows-11-hack-to-enable-windows-10-start-menu/. Alsjeblieft Microsoft, hou op met die stompzinnige veranderingen; maak in plaats daarvan jullie software beter bestand of beschermbaar tegen indringers!
Inhoudelijk: de kracht van biometrische authenticatie wordt overschat. Immers, tenzij je altijd met ofwel een integraalhelm, mondkapje of nikaab plus in alle gevallen een spiegelende en/of donkere zonnebril rondloopt, is jouw gezicht geen geheim en kan eenvoudig worden "gekopieerd" t.b.v. replay ....
Uiteindelijk is met biometrie het hoogst haalbare te bereiken.
De kosten met kwaliteit bruikbaarheid veranderen met de tijd.
Hard coded users passwords zou veilig zijn?
Het enige veilige systeem is een die niet bestaat / uit staat.
Omdat informatieverwerking vereist is zal die optie als onbruikbaar niet gebruikt worden.
Het probleem zit hem in de vertaling van de analoge wereld naar de digitale. We leven niet in een ideale wereld, daarom gaat er informatie bij de vertaling van jouw biometrische eigenschappen naar bits verloren. Deels ligt dat aan de technologie (bijvoorbeeld de kwaliteit van de camera), maar deels wordt dat ook expres gedaan (zodat je je nog steeds aan kan melden als je naar de kapper bent geweest of een puistje op je neus hebt).
Het is precies dit informatieverlies dat er voor zorgt dat biometrische authenticatie niet zo veilig is als iets dat je weet (bijvoorbeeld een paswoordzin) of iets dat je hebt (bijvoorbeeld een token), omdat je dan 100% van de authenticatie-informatie kan vergelijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
