Сегодня 01 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Уязвимость в Windows Hello позволяет хакерам обходить биометрическую защиту на бизнес-ПК

В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

 Источник изображения: Microsoft

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Cloudflare закрыла ИИ-краулерам бесплатный доступ к сайтам — за сбор данных теперь придётся платить 55 мин.
МТС Web Services запустила B2B-платформу MWS Data с ИИ-агентами для работы с большими данными 2 ч.
Electronic Arts опубликовала тизер первой за 16 лет новой NCAA March Madness — 2K тоже дразнит фанатов возвращением в игру 2 ч.
Будущее Halo прояснится в октябре, и фанаты «не захотят пропускать» это 4 ч.
Запуски ракет NASA и работу астронавтов в открытом космосе начнут показывать на Netflix 4 ч.
Siri может поумнеть с помощью ИИ OpenAI или Anthropic — у Apple не получается обучить достойный ИИ самостоятельно 4 ч.
Warhammer 40,000: Space Marine 2 продолжит получать новый контент — подробности крупного обновления 10.0 5 ч.
«Яндекс» открыл бесплатный доступ к своей лучшей нейросети YandexGPT 5 Pro через «Чат с Алисой» 5 ч.
Стартапу xAI Илона Маска удалось недавно привлечь в общей сложности $10 млрд 8 ч.
Руководство OpenAI признало, что конкуренция за ценные кадры вынуждает его шевелиться 12 ч.
Даже акционеры Nintendo не могут достать Switch 2 — глава компании извинился за дефицит 4 мин.
Вселенная оказалась полна сложных органических молекул, образованных до звёзд и планет 27 мин.
Oracle заполучила загадочного облачного клиента, который будет приносить ей $30 млрд/год 47 мин.
Трамп пообещал сэкономить состояние для США, отменив субсидии компаниям Илона Маска 2 ч.
Xiaomi распродала все электромобили YU7 на год вперёд — и вызвала гнев сотен покупателей 3 ч.
Обновление системы резервного копирования TATLIN.BACKUP для защиты данных от вирусов-шифровальщиков 3 ч.
HPE продаст Instant On, чтобы купить Juniper, а Juniper лицензирует Mist, чтобы продаться HPE 3 ч.
В России запретят называть отечественными чипы, произведённые за границей — статус Baikal и «Эльбрус» под угрозой 4 ч.
Xiaomi задействовала 1000 роботов и передовые технологии для сборки электромобилей 4 ч.
Google договорилась о покупке термоядерной энергии у детища MIT — Commonwealth Fusion Systems 5 ч.