Сегодня 17 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Уязвимость в Windows Hello позволяет хакерам обходить биометрическую защиту на бизнес-ПК

В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

 Источник изображения: Microsoft

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Nvidia снова оплошала: пользователи массово жалуются на новый драйвер GeForce, который должен был исправить 40 проблем 30 мин.
«Уверены, игра будет стоить ожидания»: научно-фантастический шутер Metal Eden от создателей Ruiner не выйдет 6 мая 2 ч.
«Википедия» выпустила набор данных для обучения ИИ, чтобы боты не перегружали её серверы скрейпингом 3 ч.
«Яндекс» выкупил права на платформу для игрового облачного сервиса «Плюс Гейминг» 5 ч.
CD Projekt Red держит в тайне, выйдет ли The Witcher 3: Wild Hunt на Nintendo Switch 2 6 ч.
«Нанёс непоправимый ущерб индустрии»: глава New Blood Interactive раскритиковал влияние Escape from Tarkov на FromSoftware и игры в целом 6 ч.
Grok научился запоминать предпочтения пользователя 7 ч.
ИИ-помощник Gemini «прозрел» у бесплатных пользователей на Android 8 ч.
«Группа Астра» с партнёрами создала СП для развития и продвижения отечественной open source среды разработки OpenIDE 8 ч.
Доказательства скорой премьеры The Elder Scrolls IV: Oblivion Remastered обнаружили на сайте самой Bethesda 8 ч.
Nothing представила наушники CMF Buds 2 с гибридным шумоподавлением и автономностью до 55 часов за  $59 26 мин.
TSMC пообещала треть 2-нм и более тонких чипов выпускать в США, но фабрики будут готовые ещё не скоро 43 мин.
Motorola представила зелёный планшет Moto Pad 60 Pro с Dimensity 8300 и батареей на 10 200 мА·ч за $315 56 мин.
Synology против сторонних HDD в своих NAS — их функциональность искусственно ограничат 2 ч.
Archer Aviation запустит летающую электромаршрутку между Манхэттеном и ближайшими аэропортами 2 ч.
Tesla ответит в суде за махинации с показаниями одометров для ускоренного истечения гарантии 2 ч.
Seagate утверждает, что HDD гораздо экологичнее SSD с точки зрения углеродных выбросов 2 ч.
Motorola представила свой первый ноутбук — компактный Moto Book 60 с OLED, Intel Core и Wi-Fi 7 3 ч.
GeForce RTX 5060 Ti увернулась от дефицита — видеокарты не смели с полок сразу после старта продаж 3 ч.
Всем прокатным электросамокатам в России запретили ездить быстрее 20 км/ч 3 ч.