Ново проучване разкрива множество уязвимости, които могат да бъдат използвани за заобикаляне на удостоверяването Windows Hello на лаптопи Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X.
Недостатъците са открити от изследователи от фирмата за изследване на сигурността на хардуерни и софтуерни продукти и офанзиви Blackwing Intelligence, които са открили слабостите в сензорите за пръстови отпечатъци от Goodix, Synaptics и ELAN, вградени в устройствата.
Предпоставка за експлоатирането на четеца за пръстови отпечатъци е потребителите на целевите лаптопи да са настроили вече удостоверяване с пръстов отпечатък.
Всички сензори за пръстови отпечатъци са тип сензор, наречен „съвпадение върху чип“ (MoC), който интегрира функциите за съвпадение и други функции за управление на биометрични данни директно в интегралната схема на сензора.
„Макар че MoC предотвратява повторното възпроизвеждане на съхранените данни за пръстови отпечатъци към хоста за съпоставяне, той сам по себе си не пречи на злонамерен сензор да подмени комуникацията на легитимен сензор с хоста и фалшиво да твърди, че оторизиран потребител се е удостоверил успешно“, казват изследователите Джеси Д’Агуано и Тимо Терас.
MoC също така не предотвратява повторното възпроизвеждане на предварително записания трафик между хоста и сензора.
Въпреки че създаденият от Microsoft Secure Device Connection Protocol (SDCP) има за цел да облекчи някои от тези проблеми, като създаде защитен канал от край до край, изследователите откриват нов метод, който може да се използва за заобикаляне на тези защити и организиране на атаки от типа „противник в средата“ (AitM).
По-конкретно, беше установено, че сензорът ELAN е уязвим към комбинация от подправяне на сензора, произтичащо от липсата на поддръжка на SDCP и предаване на идентификатори за сигурност (SID) в чист текст, като по този начин позволява на всяко USB устройство да се маскира като сензор за пръстови отпечатъци и да твърди, че оторизиран потребител влиза в системата.
В случая на Synaptics не само е установено, че SDCP е изключен по подразбиране, но и че внедряването е избрало да разчита на дефектния потребителски стек за сигурност на транспортния слой (TLS) за защита на USB комуникациите между хост драйвера и сензора, който може да бъде използван за заобикаляне на биометричното удостоверяване.
Експлоатацията на Goodix сензор, от друга страна, се възползва от фундаментална разлика в операциите по записване, извършвани на машина, която е заредена с Windows и Linux, възползвайки се от факта, че последният не поддържа SDCP за извършване на следните действия –
- Зареждане на Linux
- Изброяване на валидни идентификатори
- Записване на пръстовия отпечатък на нападателя, като се използва същият идентификатор като на легитимен потребител на Windows
- Митване на връзката между хоста и сензора чрез използване на комуникацията с ясен текст по USB
- Зареждане на Windows
- Прихващане и пренаписване на конфигурационния пакет, така че да сочи към Linux DB, използвайки нашия MitM
- Влезте като легитимен потребител с отпечатъка на нападателя
Струва си да се отбележи, че макар сензорът Goodix да разполага с отделни бази данни с шаблони за пръстови отпечатъци за системи с Windows и за системи, различни от Windows, атаката е възможна благодарение на факта, че драйверът на хоста изпраща неавтентифициран конфигурационен пакет към сензора, за да посочи коя база данни да се използва по време на инициализацията на сензора.
За да се намалят подобни атаки, се препоръчва производителите на оригинално оборудване (OEM) да активират SDCP и да гарантират, че внедряването на сензора за пръстови отпечатъци се одитира от независими квалифицирани експерти.
Това не е първият случай, в който биометричната автентификация, базирана на Windows Hello, е успешно преодоляна. През юли 2021 г. Microsoft издаде пачове за среден по тежест недостатък в сигурността (CVE-2021-34466, CVSS оценка: 6.1), който може да позволи на противника да подмени лицето на целта и да заобиколи екрана за вход.
„Microsoft свърши добра работа при проектирането на SDCP, за да осигури сигурен канал между хоста и биометричните устройства, но за съжаление производителите на устройства изглежда не разбират правилно някои от целите“, казват изследователите.
„Освен това SDCP покрива само много тесен обхват от работата на типичното устройство, докато повечето устройства имат значителна открита повърхност за атаки, която изобщо не е обхваната от SDCP.“