Сегодня 15 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Уязвимость в Windows Hello позволяет хакерам обходить биометрическую защиту на бизнес-ПК

В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

 Источник изображения: Microsoft

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
YouTube объявил о выходе масштабного обновления дизайна видеоплеера и элементов управления 4 ч.
В Firefox появился ИИ-поиск Perplexity — теперь он доступен всем пользователям по всему миру 8 ч.
Вертикальный роглайк Death by Scrolling от создателя Monkey Island предложит перехитрить саму смерть — дата выхода и новый трейлер 10 ч.
Павел Дуров: ЕС едва не обязал Telegram и другие мессенджеры сканировать все переписки пользователей 10 ч.
YouTube научится синхронизировать автоматический дубляж с губами спикера 11 ч.
Франшиза Assassin's Creed осталась без руководителя — Марк-Алексис Коте покинул Ubisoft после 20 лет работы 11 ч.
Discord нашла виноватого в утечке данных пользователей — подрядчик заявил, что его не взламывали 12 ч.
Google Meet теперь умеет накладывать виртуальный макияж с помощью ИИ 12 ч.
Разработчики No, I’m not a Human похвастались продажами и посоветовали приготовиться к встрече новых гостей 13 ч.
Microsoft ответит в суде за слишком дорогую подписку ChatGPT 13 ч.
Благосостояние богатейших представителей технологической отрасли на этой неделе выросло на $60 млрд 31 мин.
Новые виды устройств Apple для умного дома BYD будет производить во Вьетнаме 3 ч.
Новая статья: Обзор MSI GeForce RTX 5070 Ti 16G GAMING TRIO OC PLUS: универсальная видеокарта для всех игровых платформ 6 ч.
Новая статья: Обзор нововведений в ALD Pro 3.0.0: всем каталогам каталог 8 ч.
Apple намекнула на скорый анонс MacBook Pro на чипе M5 — его могут представить уже завтра 10 ч.
Intel представила Crescent Island — GPU для ИИ на архитектуре Xe3P и со 160 Гбайт LPDDR5X 10 ч.
Oracle анонсировала крупнейший в мире зеттафлопсный ИИ-кластер OCI Zettascale10: до 800 тыс. ускорителей NVIDIA в нескольких ЦОД 11 ч.
Oracle купит 50 000 ИИ-ускорителей AMD — альтернатива Nvidia набирает обороты 12 ч.
OCP поможет в унификации чиплетов с применением открытых стандартов: Arm и Eliyan поделились наработками 13 ч.
AOC анонсировала геймерский дисплей, на котором можно играть без ПК — 41,5" OLED, 144 Гц и Android 14 13 ч.