לעקוף את Windows Hello בלי מסכות או ניתוח פלסטי

חברת סייברארק חושפת חולשת אבטחה שמצאה במנגנון האימות הביומטרי של מיקרוסופט, Windows Hello, המאפשר למשתמשים להיכנס למחשב שלהם באמצעות טכנולוגיה של זיהוי פנים. במקום להכניס סיסמא, כל מה שהמשתמש צריך לעשות זה להסתכל על המסך שלו
חוקרי מעבדות סייברארק (CyberArk Labs) בחנו את היבטי האבטחה שמאחורי מנגנון זיהוי הפנים של Windows Hello, ומצאו חולשה המאפשרת לעקוף את המנגנון כך שגם מי שאינו מורשה יכול להיכנס למחשב.

יצויין כי Windows Hello היא אחת ממערכות האימות ללא-סיסמא הפופולריות ביותר, לפי מיקרוסופט, 85% ממשתמשי Windows 10 משתמשים ב- Windows Hello.

טכניקת התקיפה שחשפו החוקרים:

מנגנון אימות הזהות של Windows Hello, כולל שימוש בשני סוגים של תמונות: צילום תמונה רגילה ותמונת אינפרא-אדום (כדי לוודא לפי חום גוף שיש כאן אדם אמיתי ולא רק תמונה פיקטיבית). בפועל, החוקרים גילו שהמנגנון של Hello לא מתייחס לתמונה הרגילה, אלא רק לתמונת האינפרא-אדום, וגם בה, רק לחלקים מסוימים שמאפיינים את אותו אדם. לפיכך הם צלמו תמונת IR של המשתמש המותקף, ובעזרת מכשיר USB חיצוני שלחו אותה למערכת לצורך אימות, וכך עקפו את המנגנון.

לדברי עומר צרפתי, חוקר במעבדות סייברארק, "במהלך המחקר גילינו תכנון שמאפשר לתוקף לעקוף את מנגנון זיהוי הפנים של Hello. החולשה מאפשרת לתוקף עם גישה פיזית למכשיר לזייף את תהליך האימות על ידי ייצור תמונה של פניו של הקורבן ובהמשך חיבור של מכשיר USB שהותאם במיוחד כדי להזריק את התמונות המזוייפות למנגנון האימות. מתקפה מסוג זה יכולה לשרת תוקף שמכוון לחוקר, מדען, עתונאי, פעיל חברתי (אקטיביסט) או משתמש פריבילגי עם קניין רוחני רגיש על המחשב שלהם, למשל".

עוד הוסיף, כי "המחקר של סייברארק התמקד ב-Windows Hello ובגרסת האנטרפרייז שלו (הגרסה הארגונית) Windows Hello for Business, אולם בפוטנציאל, כל מערכת אימות שמאפשרת חיבור מכשיר מצלמה USB של צד שלישי כסנסור ביומטרי עלול להיות יעד למתקפה".

בסייברארק מוסיפים שבאמצעות הטכניקה הזו, כל מנגנון אימות שסומך על מצלמת USB חיצונית – נמצא בסיכון ועלול לאפשר גישה למחשב של המשתמש הנתקף ולרשת אליה הוא מחובר.

צוות מעבדות סייברארק דיווח למיקרוסופט על החולשה שמצא וסייע במציאת צעדים להפחתת הסכנה לארגונים ברחבי העולם. בעקבות שיתוף פעולה עם חוקרי סייברארק, מיקרוסופט פרסמה אמש תיקון תוכנה שמפחית את משטח המתקפה. התיקון של מיקרוסופט מגביל את סוגי המצלמות שניתן לחבר למחשב ומאפשר הגבלה לשימוש במצלמות מובנות בלבד, כך שלא יהיה ניתן לחבר מכשיר USB חיצוני. כאמור צעדים אלה מקשים על מימוש התקיפה אבל לא מונעים אותה לחלוטין.

חוקרי סייברארק יציגו את ממצאי המחקר בכנס Black Hat 2021 ב-4 באוגוסט, כולל ניתוח של דרכי ההתגוננות שמיקרוסופט פרסמה כחלק מחשיפת החולשה המשותפת שבצענו איתם.