Сегодня 31 мая 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Уязвимость в Windows Hello позволяет хакерам обходить биометрическую защиту на бизнес-ПК

В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

 Источник изображения: Microsoft

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Microsoft отложила разработку портативной Xbox и сосредоточится на консолях партнёров 6 ч.
Китайская XPeng выпустила электромобиль MONA M03 Max за $20 000 с бесплатными автопилотом 8 ч.
Dreame представила в России флагманские роботы-пылесосы, ручные пылесосы, газонокосилку и очиститель воздуха 8 ч.
Цены на память DRAM подскочили ещё на 20 %, так как производители электроники запасаются впрок 9 ч.
Реинкарнация Optane: InnoGrit показала SSD на чипах 3D XL-Flash с рекордной скоростью в 3,5 млн IOPS 10 ч.
MSI заменит или компенсирует любые комплектующие в ПК, если их сломает её блок питания 11 ч.
Соучредитель Xbox Джей Аллард занялся «прорывными» устройствами в Amazon 11 ч.
Intel не намерена выпускать дискретную графику для ноутбуков — хватит и интегрированной 11 ч.
Робот Space Solar поможет в сборке километровых солнечных панелей и других гигантских объектов на орбите 12 ч.
Скромно, зато всё своё: Bell Canada и Telus развернут в Канаде сеть ИИ ЦОД 12 ч.