Windows Hello-Sicherheitslücken: Forscher umgehen das auf Fingerabdrücken basierende Windows Hello-Verifizierungssystem von Microsoft: Bericht

earthpressnews
Windows Hello Sicherheitsluecken Forscher umgehen das auf Fingerabdruecken basierende Windows Hello Verifizierungssystem
Sicherheitsforscher haben neue Schwachstellen bei Microsoft entdeckt Windows Hallo Fingerabdruck-Authentifizierungssystem. Forscher des Cybersicherheitsunternehmens Blackwing Intelligence haben herausgefunden, dass das Authentifizierungssystem auf Laptops umgangen werden kann Dell, Lenovo und selbst Microsoft. Sicherheitsexperten haben mehrere Schwachstellen in den drei wichtigsten Fingerabdrucksensoren gefunden, die in Laptops integriert sind. Dieses System wird von Unternehmen häufig verwendet, um Laptops mit der Windows Hello-Fingerabdruckauthentifizierung zu sichern.
Microsofts Offensive Research and Security Engineering (MORSE) hat das Cybersicherheitsunternehmen gebeten, die Sicherheit seiner Fingerabdrucksensoren zu bewerten. Im Oktober stellten die Forscher ihre Ergebnisse in einer Präsentation auf der BlueHat-Konferenz des Technologieriesen vor. Fingerabdrucksensoren werden mittlerweile häufig von Benutzern von Windows-Laptops verwendet. Microsoft hat auch Windows Hello für eine passwortlose Zukunft vorangetrieben.
Vor einigen Jahren gab Microsoft bekannt, dass fast 85 % der Verbraucher Windows Hello für die Anmeldung bei Windows 10-Geräten nutzten, anstatt ein Passwort zu verwenden. Wichtig zu beachten ist, dass Microsoft auch eine einfache PIN zu Windows Hello zählt.
Sicherheitslücken im Windows Hello-Authentifizierungssystem
Das Sicherheitsteam identifizierte beliebte Fingerabdrucksensoren von Goodix, Synaptics und ELAN als Ziele für die Forschung. In einem Blogbeitrag erläuterte das Unternehmen, wie ein USB-Gerät für die Durchführung eines Man-in-the-Middle-Angriffs (MITM) gebaut werden kann. Ein solcher Angriff könnte den Zugriff auf einen gestohlenen Laptop oder sogar einen „bösen Dienstmädchen“-Angriff auf ein unbeaufsichtigtes Gerät ermöglichen.

Laptop-Modelle einschließlich Dell Inspiron 15, Lenovo ThinkPad T14 und Microsoft Surface Pro X

waren von den Fingerabdruckleser-Angriffen betroffen. Dies ermöglichte es den Forschern, den Windows-Hello-Schutz zu umgehen, sofern die Fingerabdruck-Authentifizierung zuvor auf einem Gerät eingerichtet worden war.
Das Forschungsteam hat sowohl Software als auch Hardware zurückentwickelt und kryptografische Implementierungsfehler in einem benutzerdefinierten TLS auf dem Synaptics-Sensor entdeckt. Der komplizierte Prozess zur Umgehung von Windows Hello umfasste auch die Dekodierung und Neuimplementierung proprietärer Protokolle.
Dies ist nicht das erste Mal, dass die auf Biometrie basierende Authentifizierung von Windows Hello umgangen wird. Im Jahr 2021 war das Unternehmen gezwungen, eine Schwachstelle bei der Umgehung der Windows Hello-Authentifizierung zu beheben, nachdem ein Proof-of-Concept aufgetaucht war, bei dem ein Infrarotbild eines Opfers aufgenommen wurde, um die Gesichtserkennungsfunktion von Windows Hello zu fälschen.

toi-tech