Сегодня 18 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Уязвимость в Windows Hello позволяет хакерам обходить биометрическую защиту на бизнес-ПК

В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

 Источник изображения: Microsoft

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Reddit готовит новый контракт с Google по интеграции с ИИ-сервисами 22 мин.
Студия ветерана Blizzard анонсировала динамичный изометрический боевик Arkheron — смесь Diablo и королевской битвы 9 ч.
Даже авторы сценария The Wolf Among Us 2 не знают, что происходит с игрой 10 ч.
Nothing анонсировала OS 4.0 — интерфейс стал проще, а камера умнее 11 ч.
Paradox добавила возмутившие фанатов платные кланы в стандартное издание Vampire: The Masquerade — Bloodlines 2 и анонсировала два сюжетных DLC 12 ч.
Жертвы утечки данных Facebook через Cambridge Analytica начали получать выплаты от Цукерберга 12 ч.
В мессенджере Max начинаются «открытые» тесты каналов — создавать их разрешат блогерам из реестра РКН 13 ч.
В России выплатили первую зарплату в цифровых рублях 14 ч.
На официальном сайте Like a Dragon засветилась Yakuza Kiwami 3 — Ryu Ga Gotoku Studio готовит анонс ремейка Yakuza 3 14 ч.
Rutube объяснил: пиратский контент на хостинг закачивают пользователи, но Netflix пока не жалуется 14 ч.
Alibaba удалось разработать ИИ-чип T-Head PPU, сопоставимый по характеристикам с Nvidia H20 3 ч.
Новая статья: Обзор «золотого» блока питания GamerStorm PQ1000G (PQA00G-FD) с разъемом 12V-2x6 8 ч.
Глава NVIDIA разочарован запретом Китая на покупку RTX Pro 6000D, но все вопросы будут решаться на высшем уровне 8 ч.
Журналисты протестировали Apple Watch Series 11, Ultra 3 и SE 3 — всем нравится младшая модель 9 ч.
CoreWeave инвестирует ещё £1,5 млрд в британские ИИ ЦОД 9 ч.
Российский специалист по ремонту ПК-оборудования VIK-on выпустил DDR5-тестер для ноутбуков 9 ч.
Garmin выпустила смарт-часы Venu 4 — улучшенные функции, светодиодный фонарик и цена от $550 9 ч.
iPhone 17 Pro обласкали в первых обзорах: «значительное обновление, вызывающее восторг» 9 ч.
СМИ и блогеры протестировали iPhone Air: «ультратонкий смартфон не без компромиссов» 9 ч.
Вышли первые обзоры iPhone 17: «лучший вариант базовой модели за последние годы» 10 ч.