Forscher der Sicherheitsfirma CyberArk Labs haben eine Schwachstelle in Microsofts Gesichtserkennungssystem Windows Hello in Windows 10 und Windows 11 entdeckt. Sie nennen es einen „Designfehler“ und sagen, dass Hacker Windows Hello umgehen können, indem sie eine bestimmte Art von Hardware verwenden um schließlich Zugriff auf Ihren PC zu erhalten.
Obwohl dies nicht gerade leicht zu bewerkstelligen ist (und Microsoft sagt, dass es die Sicherheitsanfälligkeit verringert hat), gibt es eine ganz bestimmte Reihe von Bedingungen, die zur Umgehung führen können. In allen Fällen müssen Hacker ein IR-Bild des Gesichts des Opfers aufnehmen, physischen Zugriff auf den PC des Opfers haben und auch ein benutzerdefiniertes USB-Gerät verwenden, das eine Kamera imitieren kann. CyberArk Labs beschreibt den sechsteiligen Prozess auf seiner Website mit einem Video, das den Proof-of-Concept zeigt.
Nach Angaben der Firma ist dies alles möglich, da Windows Hello beim Versuch, einen Benutzer zu authentifizieren, nur IR-Kamerabilder verarbeitet. „Man müsste eine USB-Kamera implementieren, die RGB- und IR-Kameras unterstützt. Dieses USB-Gerät muss dann nur echte IR-Frames des Opfers senden, um die Anmeldephase zu umgehen, während die RGB-Frames alles enthalten können“, sagte Omer Tsarfati von CyberArk.
Derzeit gibt es keine Hinweise darauf, dass diese Sicherheitsanfälligkeit aktiv genutzt wurde, aber CyberArk Labs warnt davor, dass jemand mit den richtigen Fähigkeiten damit Journalisten und andere mit sensiblen Inhalten auf ihren Geräten ansprechen kann. Es ist auch wichtig zu beachten, dass die Recherche zu Windows Hello for Business und nicht zur Consumer-Version von Windows Hello durchgeführt wurde. Es besteht jedoch immer noch die Möglichkeit, dass diese Schwachstelle auf andere Sicherheitssysteme zutrifft, bei denen eine USB-Kamera eines Drittanbieters als biometrischer Sensor verwendet wird.
CyberArk Labs haben diese Sicherheitsanfälligkeit bereits am 23. März 2021 an Microsoft gemeldet. Microsoft hat dieses Problem einen Tag später bestätigt. Microsoft hat seitdem ein CVE für das Problem zugewiesen und die Abschwächung über ein Sicherheitsupdate am 13. Juli geteilt.
Laut Microsoft hat dieser Patch das Problem gemildert und Windows Hello Enhanced Sign-in Security kann vor solchen Angriffen schützen. CyberArk weist jedoch darauf hin, dass die Abschwächung davon abhängt, dass Geräte mit bestimmten Kameras vorhanden sind, und dass „dem Systemdesign eigen ist, dass das implizite Vertrauen in die Eingaben von Peripheriegeräten erhalten bleibt“. Eine Untersuchung läuft noch.
Empfehlungen der Redaktion