Nový útok „Faceplant“ odhalil na konferencii Black Hat vážnu zraniteľnosť v systéme Windows Hello.
Dvojica nemeckých bezpečnostných výskumníkov predstavila sofistikovanú metódu, ktorá umožňuje obísť biometrické overovanie Windows Hello for Business. Útok, nazvaný „Faceplant“, nevyužíva oklamanie kamery, ale zameriava sa priamo na spôsob, akým systém ukladá a overuje biometrické údaje, čo útočníkom s administrátorskými právami umožňuje získať okamžitý prístup k účtom obetí.
Na prestížnej bezpečnostnej konferencii Black Hat USA v Las Vegas odhalili výskumníci Baptiste David a Tillmann Osswald zo spoločnosti ERNW techniku, ktorá predstavuje vážne riziko pre firemné prostredia spoliehajúce sa na biometrické prihlasovanie od Microsoftu. Nejde o prvý útok tohto druhu v posledných mesiacoch, čo len podčiarkuje rastúce obavy o skutočnú bezpečnosť týchto moderných overovacích metód.
Podstata útoku Faceplant nespočíva v použití falošných obrázkov či zneužití hardvérových chýb. Namiesto toho cieli na hlbšiu úroveň systému Windows Hello a manipuluje so spôsobom, akým sú biometrické dáta ukladané a spracovávané. Samotný útok prebieha v niekoľkých fázach. Najprv si útočník na akomkoľvek zariadení so systémom Windows vytvorí biometrický profil vlastnej tváre.
Týmto krokom vygeneruje biometrickú šablónu – digitálnu reprezentáciu svojej tváre, ktorá je lokálne uložená na overovacie účely. Následne útočník tento súbor dešifruje, extrahuje z neho potrebné dáta a vloží ich do biometrickej databázy na cieľovom systéme obete. Týmto spôsobom efektívne nahradí sken tváre legitímneho používateľa svojím vlastným.
Akonáhle je upravená šablóna na svojom mieste, útočník sa môže jednoducho prihlásiť do firemných účtov obete len pomocou vlastnej tváre. Ako vysvetlil Osswald, Faceplant je evolúciou predchádzajúceho útoku od tímu ERNW z júla, známeho ako „Face Swap“. Ten však vyžadoval úpravu identifikátorov medzi účtami, ktoré už boli zaregistrované na tom istom zariadení. Faceplant je omnoho všestrannejší.
„Teraz môžeme škodlivú šablónu vygenerovať kdekoľvek. Skutočný rozdiel je v tom, že už nie sme obmedzení na výmenu identifikátorov,“ uviedol Osswald pre The Register. Jadrom zraniteľnosti je spôsob, akým sa Windows Hello for Business integruje s identifikačnými platformami Microsoftu, ako sú Entra ID a Active Directory. Počas nastavenia generuje systém kryptografický kľúč spojený s biometrickým profilom a ukladá ho do databázy prepojenej so službou Windows Biometric Service.
Hoci je tento záznam chránený mechanizmom Microsoft CryptProtectData, tím ERNW preukázal, že lokálny administrátor dokáže toto šifrovanie prelomiť a vložiť nové biometrické údaje. Demonštrácia na konferencii Black Hat nenechala nikoho na pochybách o reálnosti hrozby. Jeden z výskumníkov na pódiu zaregistroval svoju tvár na samostatnom notebooku, dešifroval a extrahoval šablónu a následne ju vložil do počítača svojho kolegu.
V priebehu niekoľkých okamihov upravený systém prijal falošné prihlasovacie údaje a udelil prístup k doménovému účtu bez akejkoľvek interakcie zo strany legitímneho používateľa. Spoločnosť Microsoft výskum potvrdila, no zdôraznila, že pre úspešné vykonanie útoku sú potrebné špecifické podmienky. „Opísané scenáre vyžadujú, aby útočník vopred získal administratívny prístup k cieľovému systému,“ uviedol hovorca pre Forbes.
Firma zároveň dodala, že ochranu proti takýmto rizikám ponúka funkcia Enhanced Sign-In Security (ESS) pre Windows Hello, ktorá využíva hardvérovo zabezpečené mechanizmy na ochranu biometrických dát a zabraňuje neoprávnenej manipulácii s overovacími komponentmi. ESS beží vo virtualizovanom bezpečnostnom prostredí nad operačným systémom a je navrhnutá tak, aby blokovala útoky na úrovni databázy.
Problémom však je, že nie každý hardvér túto funkciu podporuje a na mnohých firemných zariadeniach nie je štandardne aktivovaná. Osswald poznamenal, že dokonca aj relatívne nové počítače nespĺňajú požiadavky ESS, pokiaľ sú spárované s niektorými procesormi od AMD. Oprava tejto zraniteľnosti nebude jednoduchá. Výskumníci naznačili, že úplné zmiernenie problému by si vyžadovalo rozsiahlu rekonštrukciu kódu Windows Hello.
Ďalšou možnosťou je presunutie väčšej časti spracovania biometrických dát do zabezpečeného hardvéru, akým je napríklad Trusted Platform Module (TPM). Kým sa tak nestane, odporúčajú organizáciám, ktoré sa spoliehajú na Windows Hello for Business bez aktivovanej funkcie ESS, aby prehodnotili používanie biometrického prihlasovania. Návrat k overovaniu pomocou PIN kódu je síce menej pohodlný, no za súčasných podmienok podstatne bezpečnejší.
Pre Microsoft, ktorý dlhodobo propaguje Windows Hello ako súčasť svojej snahy o odstránenie hesiel, tento nový výskum zdôrazňuje, že biometrické prihlasovanie je bezpečné len do tej miery, do akej sú bezpečné systémy chrániace jeho dáta. Pokiaľ útočníci s administrátorským prístupom dokážu manipulovať s uloženými šablónami, prísľub bezpečného overovania tvárou alebo odtlačkom prsta zostáva zraniteľný.
