Сегодня 04 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Уязвимость в Windows Hello позволяет хакерам обходить биометрическую защиту на бизнес-ПК

В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

 Источник изображения: Microsoft

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Отрасль затаила дыхание —Tesco, крупнейшая розничная сеть в Великобритании, подала в суд на Broadcom из-за изменения лицензионной политики VMware 2 ч.
Надёжный инсайдер: новая God of War в разработке, а Marvel’s Wolverine скоро выйдет из тени 3 ч.
Apple встроит в Siri поисковик на базе ИИ от Google в следующем году 3 ч.
Дождались: Instagram впервые за 15 лет выпустил приложение для iPad 10 ч.
Буквально одно слово в решении суда спасло сделку Apple и Google на $20 млрд в год 10 ч.
В Android закрыли уязвимость, позволявшую захватить контроль над смартфоном через Bluetooth или Wi-Fi 11 ч.
«007 кадров», 30 минут геймплея и дата выхода: Sony устроила демонстрацию шпионского боевика 007 First Light от создателей Hitman 12 ч.
Браузер Chrome обновился до 140-й версии — закрыты шесть уязвимостей, включая критическую 13 ч.
«Наслаждайтесь последними днями покоя»: перезапуск Painkiller не выйдет 9 октября 15 ч.
Акции Google резко подорожали после того, как компания увернулась от принудительной продажи Chrome 16 ч.