Сегодня 05 ноября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → windows hello

Уязвимость в Windows Hello позволяет хакерам обходить биометрическую защиту на бизнес-ПК

В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

 Источник изображения: Microsoft

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Найден способ взлома ноутбуков со сканерами отпечатков пальцев и Windows Hello

Защиту Windows Hello с использованием сканеров отпечатков пальцев удалось обойти — уязвимости обнаружились на ноутбуках Dell, Lenovo и даже Microsoft. Эксперты по безопасности из компании Blackwing Intelligence обнаружили бреши защиты в сканерах отпечатков пальцев трёх крупнейших производителей — эти компоненты встраиваются в ноутбуки и широко используются предприятиями с системой аутентификации Windows Hello.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Исследование Blackwing Intelligence проводилось по заказу подразделения Microsoft MORSE: компании было поручено оценить защиту сканеров отпечатков пальцев, и она представила свои выводы на конференции Microsoft BlueHat в октябре. В качестве объектов исследования были выбраны сканеры Goodix, Synaptics и ELAN — они оказались недостаточно защищёнными, а исследователи подробно описали процесс создания USB-устройства для осуществления атаки класса MitM (man-in-the-middle).

Эксперты осуществили взлом защищённых при помощи сканера отпечатков пальцев ноутбуков Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X. Они провели реверс-инжинирнг программного и аппаратного компонентов защиты и обнаружили, в частности, уязвимости в криптографической реализации TLS на сканере Synaptics. При обходе защиты Windows Hello проводилось декодирование и повторное внедрение проприетарных протоколов. «Microsoft проделала хорошую работу при создании протокола безопасного подключения устройств (SDCP) для обеспечения безопасного канала между хостом и биометрическими устройствами, но, к сожалению, производители устройств, кажется, неверно понимают некоторые цели. Кроме того, SDCP покрывает лишь узкую область операций типичного устройства, а поверхность атаки на большинство устройств вообще не покрывалась SDCP», — прокомментировали своё открытие эксперты Blackwing Intelligence.

Исследователи обнаружили, что на двух из трёх целевых устройствах защита Microsoft SDCP вообще не была включена. В этой связи производителям ноутбуков рекомендовали убеждаться, что протокол SDCP активирован и проводить проверку реализации сканера отпечатков пальцев при участии квалифицированного эксперта. Blackwing Intelligence также изучили уязвимости прошивок на сканерах к атакам с нарушением целостности памяти, а также защищённость сканеров отпечатков пальцев на продукции Apple и устройствах под управлением Linux и Android.

Google Chrome для ПК получит поддержку биометрической аутентификации

В скором времени в браузере Google Chrome появится 5 новых функций для упрощения работы с паролями. Менеджер паролей Chrome получит отдельную вкладку в настройках , возможность создавать заметки к паролям, упрощённый импорт из других менеджеров паролей, совместимость с iOS и самое главное — биометрическую аутентификацию.

 Источник изображений: Google

Источник изображений: Google

Менеджер по продуктам Патрик Неппер (Patrick Nepper) написал в блоге компании: «Менеджер паролей Google мгновенно генерирует уникальные пароли и автоматически заполняет их при входе в аккаунт Google в Chrome с компьютера, устройства Android или iOS. Сегодня мы представляем пять новых функций, которые сделают менеджер паролей ещё более безопасным, полезным и простым в использовании».

Менеджер паролей Google получит выделенное место в настройках Chrome, что упростит переход к сохраненным учетным данным в интернете или изменению настроек паролей. Перейти к нему можно будет, выбрав настройку «Менеджер паролей» в меню Chrome или открыв настройки Chrome и выбрав раздел «Автозаполнение и пароли». Для еще более быстрого доступа можно будет даже создать специальный ярлык на рабочем столе Windows.

Следующая новинка — биометрическая аутентификация. Менеджер паролей Google уже поддерживает эту функцию на мобильных устройствах, но теперь она появится и на настольных компьютерах, так что пользователи ПК смогут проходить аутентификацию с помощью Windows Hello.

С заметками о паролях пользователь сможет добавить примечание к любому паролю, сохранённому в менеджере паролей Google. Это может быть полезно, если используется несколько учётных записей для одного сайта или необходимо сохранить PIN-код, название аккаунта или любые другие данные, связанные с учётной записью.

Долгое время в Chrome были ограниченные возможности импорта паролей. Теперь появится возможность импортировать пароли из других менеджеров паролей в формате CSV с помощью настольной версии Chrome. Инструкции по экспорту из различных менеджеров паролей можно найти на сайте компании.

Наконец, функция Password Checkup появится на устройствах с iOS. Данная функция обеспечения безопасности сохранённых паролей есть на настольных компьютерах и в Android. Она сообщит, если какой-либо из них был взломан, является слабым или используется повторно, и поможет исправить возникшие проблемы.


window-new
Soft
Hard
Тренды 🔥
«Не очень хорошо, но очень интересно»: критики вынесли вердикт экшен-хоррору Slitterhead от создателя Silent Hill 2 ч.
«У нас всего один шанс»: Ubisoft объяснила, почему перенос Assassin's Creed Shadows был необходим 4 ч.
Игрок обнаружил в ремейке Silent Hill 2 секретное послание — разработчики боялись, что загадка будет слишком сложной 6 ч.
Baldur’s Gate 3, Stellar Blade, Star Wars Outlaws и многие другие: поддержку PS5 Pro на запуске получат более 50 игр 6 ч.
Евросоюз проверит iPadOS на соответствие требованием антимонопольного законодательства 7 ч.
Windows 11 закрепилась как самая популярная ОС в Steam 9 ч.
«Смута» получила «знаковое» обновление 2.0.0 и крупнейшую скидку с релиза, а на iOS и Android вышла визуальная новелла «Смута: Зов сердца» 12 ч.
iOS 18.2 выйдет раньше — интеграция с ChatGPT и ИИ-генератор эмодзи Genmoji появятся на iPhone уже 2 декабря 13 ч.
Энтузиаст запустил классическую Doom на умном будильнике Alarmo от Nintendo 13 ч.
Project Borealis: Prologue обзавелась страницей в Steam — новые скриншоты демоверсии фанатской Half-Life 3 на Unreal Engine 5 15 ч.