В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Защиту Windows Hello с использованием сканеров отпечатков пальцев удалось обойти — уязвимости обнаружились на ноутбуках Dell, Lenovo и даже Microsoft. Эксперты по безопасности из компании Blackwing Intelligence обнаружили бреши защиты в сканерах отпечатков пальцев трёх крупнейших производителей — эти компоненты встраиваются в ноутбуки и широко используются предприятиями с системой аутентификации Windows Hello.

Источник изображения: Gerd Altmann / pixabay.com

Исследование Blackwing Intelligence проводилось по заказу подразделения Microsoft MORSE: компании было поручено оценить защиту сканеров отпечатков пальцев, и она представила свои выводы на конференции Microsoft BlueHat в октябре. В качестве объектов исследования были выбраны сканеры Goodix, Synaptics и ELAN — они оказались недостаточно защищёнными, а исследователи подробно описали процесс создания USB-устройства для осуществления атаки класса MitM (man-in-the-middle).

Эксперты осуществили взлом защищённых при помощи сканера отпечатков пальцев ноутбуков Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X. Они провели реверс-инжинирнг программного и аппаратного компонентов защиты и обнаружили, в частности, уязвимости в криптографической реализации TLS на сканере Synaptics. При обходе защиты Windows Hello проводилось декодирование и повторное внедрение проприетарных протоколов. «Microsoft проделала хорошую работу при создании протокола безопасного подключения устройств (SDCP) для обеспечения безопасного канала между хостом и биометрическими устройствами, но, к сожалению, производители устройств, кажется, неверно понимают некоторые цели. Кроме того, SDCP покрывает лишь узкую область операций типичного устройства, а поверхность атаки на большинство устройств вообще не покрывалась SDCP», — прокомментировали своё открытие эксперты Blackwing Intelligence.

Исследователи обнаружили, что на двух из трёх целевых устройствах защита Microsoft SDCP вообще не была включена. В этой связи производителям ноутбуков рекомендовали убеждаться, что протокол SDCP активирован и проводить проверку реализации сканера отпечатков пальцев при участии квалифицированного эксперта. Blackwing Intelligence также изучили уязвимости прошивок на сканерах к атакам с нарушением целостности памяти, а также защищённость сканеров отпечатков пальцев на продукции Apple и устройствах под управлением Linux и Android.

В скором времени в браузере Google Chrome появится 5 новых функций для упрощения работы с паролями. Менеджер паролей Chrome получит отдельную вкладку в настройках , возможность создавать заметки к паролям, упрощённый импорт из других менеджеров паролей, совместимость с iOS и самое главное — биометрическую аутентификацию.

Источник изображений: Google

Менеджер по продуктам Патрик Неппер (Patrick Nepper) написал в блоге компании: «Менеджер паролей Google мгновенно генерирует уникальные пароли и автоматически заполняет их при входе в аккаунт Google в Chrome с компьютера, устройства Android или iOS. Сегодня мы представляем пять новых функций, которые сделают менеджер паролей ещё более безопасным, полезным и простым в использовании».

Менеджер паролей Google получит выделенное место в настройках Chrome, что упростит переход к сохраненным учетным данным в интернете или изменению настроек паролей. Перейти к нему можно будет, выбрав настройку «Менеджер паролей» в меню Chrome или открыв настройки Chrome и выбрав раздел «Автозаполнение и пароли». Для еще более быстрого доступа можно будет даже создать специальный ярлык на рабочем столе Windows.

Следующая новинка — биометрическая аутентификация. Менеджер паролей Google уже поддерживает эту функцию на мобильных устройствах, но теперь она появится и на настольных компьютерах, так что пользователи ПК смогут проходить аутентификацию с помощью Windows Hello.

С заметками о паролях пользователь сможет добавить примечание к любому паролю, сохранённому в менеджере паролей Google. Это может быть полезно, если используется несколько учётных записей для одного сайта или необходимо сохранить PIN-код, название аккаунта или любые другие данные, связанные с учётной записью.

Долгое время в Chrome были ограниченные возможности импорта паролей. Теперь появится возможность импортировать пароли из других менеджеров паролей в формате CSV с помощью настольной версии Chrome. Инструкции по экспорту из различных менеджеров паролей можно найти на сайте компании.

Наконец, функция Password Checkup появится на устройствах с iOS. Данная функция обеспечения безопасности сохранённых паролей есть на настольных компьютерах и в Android. Она сообщит, если какой-либо из них был взломан, является слабым или используется повторно, и поможет исправить возникшие проблемы.